Le password in Windows

Le password sono le credenziali di default in Windows per autenticare gli account e quindi è importante fare in modo che vengano utilizzate password che garantiscano il più possibile la sicurezza.

Un primo modo per migliorare la qualità delle password è l’utilizzo delle group policy che possono essere configurate sul dominio o in locale eseguendo gpedit.msc.
I settaggi relativi alle password si trovano in Configurazione computerImpostazioni di WindowsImpostazioni protezioneCriteri accountCriterio password.

Vediamo nel dettaglio le varie impostazioni che è possibile modificare
Applica l’unicità della password memorizzando le ultime – Questa impostazione configura il numero di password che Windows ricorda e forza gli utenti a utilizzarne una diversa da quelle memorizzate.
Validità massima password – Specifica il numero di giorni per cui una password rimane valida. il valore 0 indica che le password non scadono.
Validità minima password – Specifica il numero di giorni prima che un utente possa cambiare la password.
Lunghezza minima password – Specifica la lunghezza minima della password.
Le password devono essere conformi ai requisiti di complessità – Se viene abilitata questa impostazioni le password devono essere di almeno sei caratteri, contenere un misto di lettere maiuscole, minuscole, numeri e simboli e non contenere parte dello username o del nome dell’utente.
Consenti archiviazione password con crittografia reversibile per tutti gli utenti del dominio – Quando questa impostazione viene abilitata le password non vengono mantenute in Active Directory.

Altri settaggi relativi alle password si trovano in Configurazione computerImpostazioni di WindowsImpostazioni protezioneCriteri localiOpzioni di protezione
Account limitare l’uso locale di account con password vuote all’accesso alla console – Abilitando questa impostazione gli utenti senza password possono loggarsi solo alla console.
Accesso di rete non memorizzare il valore hash di LAN Manager al prossimo cambio di password – Abilitando questa impostazione le password LAN Manager non vengono salvate in Active Directory.

Oltre che utilizzare le policy è bene utilizzare password veramente casuali. Questo può essere fatto utilizzando diversi strumenti ma anche semplicemente utilizzando il comando net user con l’opzione /random
net user <Utente> /random
Questo comando genera una password random e la assegna all’account utente.

A intervalli periodici è bene verificare dei test per controllare la qualità delle password.
Un primo tool utilizzabile e Microsoft Baseline Security Analyzer (MBSA) che permette di effettuare alcune verifiche sulle password.
In particolare MBSA può verificare password vuote, password uguali al nome utente, password uguali al nome del computer, password che utilizzano la parola password e password che utilizzano le parole admin o administrator.