In che modo "l'autenticazione di dominio Microsoft" mi impedisce di utilizzare le varianti di passwort?

0

Ho letto Aggiornamenti sequenziali delle password e sono a conoscenza di una serie di tecniche per prevenire gli utenti di utilizzare le varianti di password. La mia domanda è: quali di queste tecniche sono effettivamente utilizzate nell'autenticazione utente in un server di dominio Microsoft? Non sono esperto nel software server - ciò che intendo è il (presumibilmente) backend comune per l'amministrazione degli utenti e l'autenticazione dei tentativi di accesso agli account utente di dominio con Windows, Outlook, Outlook Web Access, che sembrano tutti (essere in grado di) utilizzare lo stesso dati e applica le stesse regole sulla password, inclusa la prevenzione del riutilizzo di sottostringhe di password storiche.

Sono disponibili informazioni rigide da test sistematici? È stato trapelato il codice sorgente che guida questa prevenzione delle variazioni? O cos'altro è noto? Ad esempio, quanti, o per quanto tempo, sono stati memorizzati gli hash delle password precedenti? Quali varianti sono pre-hash e memorizzate con una nuova password? Che cosa è corretto e cosa è configurabile dagli amministratori?

Contesto: Sono un utente interessato che si stanca di dover cambiare la password ogni 90 giorni senza motivo. Gli amministratori IT non ammetteranno che è un'idea priva di senso, nonostante i recenti consigli del NIST. Non è un account terribilmente importante, quindi naturalmente ricorro alle varianti di password. Voglio semplicemente semplificarmi la vita essendo in grado di prevedere quali varianti di password sono consentite. Generalmente trascorro 10-20 minuti in un quarto a venire con una nuova variante consentita.

    
posta bers 09.09.2017 - 11:03
fonte

2 risposte

1

La complessità della password del dominio Windows è applicata da criteri di gruppo, informazioni complete su ciò che il requisito della 'complessità della password' in Windows è disponibile qui: link

ma ecco i punti salienti:

  • Potrebbe non contenere il tuo nome utente (quello con cui accedi)
  • Non può contenere alcuna parte del tuo nome completo (C'è un intero paragrafo nella pagina technet che definisce cosa significa una 'parte')
  • Potrebbe non essere una delle vecchie password X (il numero X è configurabile dagli amministratori)
  • Deve contenere almeno X caratteri (il numero X è configurabile dagli amministratori)
  • Deve contenere 3 su 5 delle seguenti categorie
    • a-z (alfabeto minuscolo)
    • A-Z (alfabeto maiuscolo)
    • 0-9 (numerico)
    • Simboli
    • / caratteri non alfanumerici (! @ # $% ^ & *, ecc.)
    • caratteri Unicode estesi (caratteri cinesi / giapponesi, ecc.)

A meno che non abbiano implementato una soluzione di terze parti non esiste l'opzione 'sottostringhe delle vecchie password'. La mia raccomandazione se sei interessato all'utilizzo della raccomandazione della passphrase NIST, sceglierei una nuova passphrase ogni trimestre, e quindi aggiungere un segno numerico / simbolo (che può rimanere lo stesso trimestre per trimestre).

per es.

q1: Jumpingtheshark382 ## @

q2: Talktothehand382 ## @

q3: Hegoinggoingthedistance382 ## @

ecc.

    
risposta data 11.12.2017 - 03:56
fonte
0

Molto probabilmente i tuoi amministratori di dominio hanno preso decisioni in linea con le best practice del settore o una decisione sulla politica di sicurezza che è stata presa da una prospettiva di governance della sicurezza.

Molte organizzazioni definiscono queste impostazioni utilizzando complessità della password e < a href="https://technet.microsoft.com/en-us/library/hh994571(v=ws.11).aspx"> cronologia politiche, tuttavia alcune organizzazioni ADDS utilizzeranno criteri di password a grana fine (anche se questi sono in genere per amministratori o utenti con livelli di accesso più rischiosi).

Fornisci feedback agli amministratori IT, in modo che possano prendere in considerazione l'esperienza utente durante la progettazione dei servizi e indirizzarli ai consigli del NIST.

Ricorda che sebbene la guida sia cambiata, ciò non significa che il livello di rischio / appetito delle organizzazioni si adegui automaticamente di conseguenza (ad es., se non stai già completando l'accesso al dominio con l'autenticazione a più fattori).

    
risposta data 12.09.2017 - 00:47
fonte

Leggi altre domande sui tag