最短密码长度
介绍了有关“最短密码长度”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
“最短密码长度”****策略设置确定可以组成用户帐户密码的最少字符数。可以设置 1 到 14 个字符之间的值,或者可以通过将字符数设置为 0 来指示不需要使用密码。
可能值
用户指定的字符数介于 0 到 14 之间
未定义
最佳做法
将最短密码长度设置为至少为 8 的值。如果字符数设置为 0,则不需要使用密码。在大多数环境中,建议使用 8 个字符的密码;因为其长度足以提供适当的安全性并且其长度仍短到可供用户轻松记住。此值将帮助针对暴力攻击提供适当防御。添加复杂性要求将有助于减少字典攻击的可能性。有关详细信息,请参阅密码必须符合复杂性要求。
允许使用短密码会降低安全性,因为使用针对密码执行字典攻击或暴力攻击的工具就可以很容易地破解短密码。要求使用非常长的密码可能导致密码错误输入,这可能导致帐户锁定,随后将增加技术人员的呼叫量。
此外,要求使用极长的密码实际上会降低组织的安全性,因为用户可能更倾向于写下其密码以免忘记它们。但是,如果教导用户使用密码短语(如“我想要喝 5 美元的奶昔“句子),应当更容易记住它们。
位置
计算机配置\Windows 设置\安全设置\帐户策略\密码策略
默认值
下表列出实际和有效默认策略值。策略的属性页中还列出了默认值。
| 服务器类型或组策略对象 (GPO) | 默认值 |
|---|---|
默认域策略 |
7 个字符 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
0 个字符 |
域控制器有效默认设置 |
7 个字符 |
成员服务器有效默认设置 |
7 个字符 |
客户端计算机上的有效 GPO 默认设置 |
0 个字符 |
策略管理
本部分介绍用于帮助你管理此策略的功能、工具和指南。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
密码攻击类型包括字典攻击(尝试使用常见字词和短语)和暴力攻击(尝试字符的每一种可能组合)。此外,攻击者有时会尝试获取帐户数据库,以便他们可以使用工具来发现帐户和密码。
对策
将 策略设置配置为 8 或更大的值。如果字符数设置为 0,则无需使用密码。
在大多数环境中,我们建议使用 8 个字符的密码;因为其长度足以提供适当的安全性,但对于用户轻松记住密码并不会太难。此配置针对暴力攻击提供适当防御。使用密码必须符合复杂性要求策略设置以及“最短密码长度”****设置有助于减少字典攻击的可能性。
注意
某些地区已针对作为建立安全法规组成部分的密码长度建立了法律要求。
潜在影响
要求使用极长的密码实际上会降低组织的安全性,因为用户可能会将该信息存放在不安全位置或将其丢失。如果要求使用非常长的密码,密码错误输入可能导致帐户锁定,并会增加技术人员的呼叫量。如果你的组织存在因密码长度要求而忘记密码的问题,请考虑教导你的用户使用密码短语,密码短语通常更容易记住,并且因较大的字符数组合使其难以被发现。