Både moderna Windows-system (t.ex. Windows Server 2008 och 2008 R2) och Active Directory, som Linux- och Solaris-system, låter dig konfigurera lösenordsprinciper som bestämmer hur långa och komplexa användarnas lösenord måste vara, vilket ger ett första försvar för dina system. Om dina Unix-system autentiseras mot AD är det här platsen att ange alla dina lösenordskrav. Om Active Directory bara är en av många platser där lösenordspolicyer är konfigurerade är det fortfarande en bra idé att se till att bra lösenord används. Att ha liknande komplexitetsstandarder över hela företaget är en bra strategi eftersom det förstärker vikten av bra lösenord i hålla dina system säkra.

Windows och Active Directory låter dig ange ett antal parametrar för att säkerställa lösenordsskydd. Standardvärdena listas i tabellen nedan.

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

Lösenordshistorik – hur många lösenord kommer att komma ihåg av systemet. Med standard kan inget av de föregående 24 lösenorden återanvändas när en användare ändrar sitt lösenord .

Maximal lösenordsålder – hur länge ett lösenord kan användas innan det måste ändras. Om det ändras är det vanligtvis inställt på ungefär 90 dagar. Detta skulle innebära att dina lösenord måste bytas med några få månader.

Lägsta lösenordsålder – hur länge användarna måste vänta innan de kan chatta nge ett lösenord igen. Om du användare kunde ändra sina lösenord omedelbart och systemet bara kom ihåg några av de tidigare lösenorden, skulle det vara lätt för dem att återuppliva sina nuvarande lösenord, i huvudsak med samma lösenord för alltid. Om du tvingar dem att använda varje nytt lösenord under ett antal dagar är sannolikheten att de återvänder till att använda det ursprungliga lösenordet liten. Om väntetiden var två dagar och tio lösenord skulle komma ihåg, skulle det ta 20 dagar att komma tillbaka till det ursprungliga lösenordet. Vid den tiden kommer till och med de smartaste lösenorden förlorat sitt överklagande.

Nackdelen med minsta lösenordsålderspolicy är att dina användare inte kan ändra sina lösenord direkt även om de tror att lösenorden har äventyrats. Du bör komma ihåg detta om du väljer det här alternativet och se till att en hotline är tillgänglig för nödlösenordsändringar.

Lösenordskomplexitet – innehåller ett nummer av krav som konfigureras separat på Linux- och Solaris-system. Om denna inställning är aktiverad – som den är som standard måste lösenorden vara minst sex tecken långa och måste innehålla tecken från tre av följande: versaler, gemener, siffror (0-9), specialtecken (t.ex.!, #, $) Och unicode-tecken. Dessutom får lösenordet inte innehålla mer än två tecken från användarnamnet (förutsatt att användarnamnet är tre eller fler tecken långt).

Minsta lösenordslängd – hur många tecken måste ingå i användarnas lösenord. Medan detta är 7 är något mellan 8 och 12 ett bättre val. Dina användare kommer sannolikt att hindra att de måste komma ihåg ytterligare fyra tecken, så var redo att ge några förslag på hur man kan göra längre lösenord minnesvärda, som att lägga till ett par siffror i varje ände, förbereda lösenord med sin bästa väns födelsedag ( 0323) eller ställa in lösenord som en kort fras som ”want2goHome!”. Påminn dem om att det alltid är en väldigt dålig idé att skriva ner sina lösenord, men att skriva ner något som påminner dem om deras lösenord kan vara OK, särskilt om de inte ”t gör det uppenbart att det är ett lösenord som de försöker komma ihåg.

Kontolåsningstid – hur många minuter ett låst konto förblir utelåst innan det låses upp. Om den är inställd på 0 förblir dock ett lösenord låst tills en admin (någon som är behörig att göra sådana ändringar) låser upp det. Den här inställningen är dock beroende av tröskeln för kontoutlåsning. Med andra ord, om du inte anger att konton kommer att låses efter ett antal misslyckade försök att logga in, är det ingen betydelse för att ange hur länge de kommer att vara låsta.

Tröskel för kontoutlåsning – antalet på varandra följande misslyckade inloggningsförsök som gör att ett konto låses. Om det är inställt på 0 (standard) låses konton aldrig.

Den enda nackdelen med inställningen för tröskelvärdet för kontoutlåsning är att det gör det möjligt för en användare att låsa ut någon annan användares konto.

Återställ kontolåsräknaren efter – hur många minuter måste det gå innan en spärrräknare återställs till 0 (dvs kontot är olåst). Detta kan sträcka sig från 1 minut till 99.999. Det måste vara mindre än eller lika med kontoutlåsningstiden.

Tvinga in användarinloggningsbegränsningar – om Kerberos Key Distribution Center validerar varje begäran om en sessionsbiljett mot användarrättighetspolicyn på en viss dator.

Maximal livslängd för servicebiljett – maximal tid som en sessionsbiljett kan användas. Detta innebär att autentiseringssystemet som ligger till grund för Windows (Kerberos) måste ompröva en anslutning vid det angivna intervallet.

Maximal livslängd för användarbiljett – maximal tid som en användares biljettilldelning får användas. tid (standard 10 timmar) har passerat måste den förnyas.

Maximal livslängd för förnyelse av användarbiljett – definierar den tidsperiod inom vilken en biljett kan användas och förnyas.

Maximal tolerans för datorns klocksynkronisering – definierar den maximala tidsskillnaden som är tillåten mellan tiden på klientens klocka och domänkontrollanten. Det är avsett att förhindra vad som kallas ”replay attacker” där en giltig dataöverföring skadligt eller bedrägligt upprepas eller försenas.

Standardinställningarna för lösenord i Windows och Active Directory är ganska rimliga, även om jag skulle ändra minsta lösenordslängd på 7 tecken till något högre. Medan uteslutningsfunktionerna gör framgången med lösenordsattacker med brute force mycket osannolikt – om detta är inställt och det inte är som standard, kan användarnas förväntningar om att lösenordet ska vara längre än åtta tecken sannolikt förbättra säkerheten för andra konton de använder .