Id piace capire i rischi in modo più approfondito per spiegarlo a qualcuno che ha una politica di password che non è affatto configurata.
Prendo dalla tua domanda che hai un dominio di Active Directory nuovo di zecca che è stato impostato con la politica di password predefinita. Presumibilmente hai anche il criterio di blocco degli account predefinito.
Per impostazione predefinita, le password hanno una scadenza di 42 giorni, una lunghezza minima di 7 e devono rispettare le regole di complessità della password (ad es. non possono contenere il nome utente, devono contenere 3 maiuscole, minuscole, cifre, caratteri speciali o simboli ). Queste regole non sembrano terribili, quindi lasciarle alle loro impostazioni predefinite non presenta un rischio intollerabile.
Tuttavia, il criterio di blocco dell'account per impostazione predefinita è disattivato . Questo apre il tuo dominio agli attacchi di forza bruta, dal momento che un utente può provare tutte le password che desidera per tutto il tempo che desidera. Come minimo, dovresti accenderlo, anche con un numero piuttosto elevato (ad es. 20).
Leggi altre domande sui tag password-policy account-security