Lunghezza minima password
Contiene informazioni su procedure consigliate, posizione, valori e gestione dei criteri, nonché considerazioni sulla sicurezza per l'impostazione del criterio di sicurezza Lunghezza minima password.
Informazioni di riferimento
L'impostazione criterio Lunghezza minima password stabilisce il numero minimo di caratteri di cui deve essere composta una password per un account utente. Puoi impostare il valore tra 1 e 14 caratteri o puoi stabilire che la password non sia necessaria impostando il numero di caratteri su 0.
Valori possibili
Numero di caratteri specificato dall'utente compreso tra 0 e 14
Non definito
Procedure consigliate
Imposta Lunghezza minima password su un valore minimo pari a 8. Se il numero di caratteri è impostato su 0, non è richiesta alcuna password. Nella maggior parte degli ambienti, è consigliabile usare una password di otto caratteri perché è abbastanza lunga da garantire una sicurezza adeguata e abbastanza corta da essere ricordata facilmente dagli utenti. Questo valore consente di fornire una difesa adeguata contro un attacco di forza bruta. L'aggiunta di requisiti di complessità consente di ridurre la probabilità di un attacco con dizionario. Per altre info, vedi Le password devono essere conformi ai requisiti di complessità.
L'uso di password corte riduce la sicurezza perché possono essere facilmente violate con strumenti che eseguono attacchi con dizionario o attacchi di forza bruta contro le password. L'uso di password molto lunghe può comportare password digitate in modo non corretto che potrebbero causare il blocco di un account e aumentare pertanto il volume delle chiamate al supporto tecnico.
Inoltre, l'uso di password molto lunghe in realtà può diminuire la sicurezza di un'organizzazione perché sarà più probabile che gli utenti si annotino le password per evitare di dimenticarsele. Tuttavia, se gli utenti possono usare passphrase (frasi come ad esempio "Voglio bere un milkshake da $5"), dovrebbero ricordarsele più facilmente.
Percorso
Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri account\Criteri password
Valori predefiniti
La tabella seguente elenca i valori dei criteri predefiniti effettivi e validi. I valori predefiniti sono elencati anche nella pagina delle proprietà dei criteri.
| Tipo di server o oggetto Criteri di gruppo | Valore predefinito |
|---|---|
Criterio dominio predefinito |
7 caratteri |
Criterio controller di dominio predefinito |
Non definito |
Impostazioni predefinite server autonomi |
0 caratteri |
Impostazioni predefinite effettive controller di dominio |
7 caratteri |
Impostazioni predefinite effettive server membri |
7 caratteri |
Impostazioni predefinite effettive oggetti Criteri di gruppo nei computer client |
0 caratteri |
Gestione dei criteri
Questa sezione descrive le funzionalità, gli strumenti e le linee guida utili per la gestione di questo criterio.
Requisiti di riavvio
Nessuno. Le modifiche apportate a questo criterio diventano effettive senza dover riavviare il dispositivo se vengono salvate in locale o distribuite tramite Criteri di gruppo.
Considerazioni sulla sicurezza
Questa sezione descrive i modi in cui l'autore di un attacco potrebbe sfruttare una funzionalità o la sua configurazione, come implementare la contromisura appropriata e le possibili conseguenze negative dell'implementazione di questa contromisura.
Vulnerabilità
I tipi di attacchi alle password includono gli attacchi con dizionario (che tentano di usare parole comuni e frasi) e gli attacchi di forza bruta (che tentano qualsiasi combinazione possibile di caratteri). Inoltre, gli autori degli attacchi a volte tentano di ottenere il database account in modo da poter usare gli strumenti per rilevare gli account e le password.
Contromisura
Configura l'impostazione criterio su un valore minimo pari a 8. Se il numero di caratteri è impostato su 0, non verrà richiesta alcuna password.
Nella maggior parte degli ambienti, è consigliabile usare una password di otto caratteri perché è abbastanza lunga da garantire una sicurezza adeguata ma non è troppo difficile per essere ricordata facilmente dagli utenti. Questa configurazione consente di fornire una difesa adeguata contro un attacco di forza bruta. L'uso dell'impostazione criterio Le password devono essere conformi ai requisiti di complessità insieme all'impostazione Lunghezza minima password consente di ridurre la probabilità di un attacco con dizionario.
Nota
Alcune giurisdizioni hanno stabilito dei requisiti legali per la lunghezza della password come parte delle norme sulla sicurezza.
Potenziale impatto
L'uso di password molto lunghe in realtà può diminuire la sicurezza di un'organizzazione perché gli utenti potrebbero custodire le informazioni in una posizione non sicura o perderle. L'uso di password molto lunghe può comportare password digitate in modo non corretto che potrebbero causare il blocco di un account e aumentare pertanto il volume delle chiamate al supporto tecnico. Se l'organizzazione ha problemi con le password dimenticate a causa dei requisiti della lunghezza delle password, è consigliabile far usare agli utenti le passphrase, che spesso sono più facili da ricordare e, grazie al numero maggiore di combinazioni di caratteri, più difficili da individuare.