Срок действия пароля

Политики паролей Windows

Срок действия пароля

Политики паролей операционной системы Windows позволяют довольно гибко настроить возможность выбора паролей для пользователей данной системы.

А если выразиться точнее, то данные политики позволяют довольно гибко настроить ограничения по выбору паролей для пользователей Windows.

Политики паролей Windows позволяют настроить минимальную длину паролей, их сложность и многие другие параметры. В данной статье мы попробуем разобраться с данными политиками.

Где найти политики паролей Windows?

Все политики, которые позволяют настроить использование паролей в операционной системе от Microsoft хранятся в одном месте, которое гордо носит имя Редактор локальной групповой политики.

Стоит отметить, что данный инструмент имеется только в трех самых развитых изданиях Windows. Чтобы открыть данный инструмент Вы можете воспользоваться командной быстрого вызова — gpedit.msc, которую необходимо ввести в окно меню Выполнить.

После того как Редактор откроется, необходимо последовательно перейти по узлам

  • Конфигурация компьютера
  • Конфигурация Windows
  • Параметры безопасности
  • Политики учетных записей
  • Политика паролей

Тут Вы найдете несколько политик. Их количество может отличаться в зависимости от версии операционной системы. Я ознакомлю Вас с 6 политиками паролей Windows, которые имеются в операционной системы Windows 7.

  1. Вести журнал паролей. Самая первая политика позволяет настроить количество паролей, которые будут храниться в памяти компьютера. Нужно это для того чтобы пользователь не использовал один и тот же пароль несколько раз. Журнал паролей может хранить от 0 до 24 паролей. И чисто теоретически, пользователь может один и тот же пароль выставить только через несколько лет. В этом ему может помощь следующая политика.
  2. Максимальный срок действия пароля. Думаю что объяснять на пальцах суть данной политики не нужно. Скажу только то, что по умолчанию в данном параметре пароли должны меняться раз в 42 дня. И попрошу никого не бояться — система автоматически будет предупреждать пользователей о том, что необходимо поменять пароль. Предупреждения выходят на протяжении 7 дней.
  3. Минимальная длина пароля. Название данной политики так же предельно ясно описывает назначение самой политики: тут Вам необходимо задать минимальное количество символов, которое должно быть в пароле. Чтобы понять всю важность этой политики необходимо прочитать статью Время перебора паролей.
  4. Минимальный срок действия пароля. Использование данной политики оправдано только в связке с первой политикой. Данная политика не позволит особенно умным «хакерам» прокрутить журнал паролей за несколько минут и снова поставить свой старый пароль.
  5. Пароль должен отвечать требованиям сложности.5-ая политика паролей позволяет одним действием выставить сразу несколько ограничений для выбираемых паролей:
    • Пароль не будет содержать в себе имени учетной записи или частей полного имени пользователя длиной более двух рядом стоящих знаков.
    • Пароли должны будут иметь минимальную длину в 6 символов.
    • Содержать в себе 3 из 4 ниже перечисленных категорий символов.
      • Латинские заглавные буквы (от A до Z)
      • Латинские строчные буквы (от a до z)
      • Цифры (от 0 до 9)
      • Отличающиеся от букв и цифр символы (например, !, $, #, %)
  6. Хранить пароли используя обратимое шифрование. Включать данную политику следует только для совместимости со старыми приложениями. Если у Вас нет в этом надобности, то настоятельно прошу не включать данную политику, так как это отрицательным образом скажется на безопасности компьютера.

Настройка политик выбора паролей для отдельных пользователей

Все вышеперечисленные политики паролей Windows скажутся на жизни всех пользователей данного компьютера.

Но кроме вышеперечисленных способов настройки есть еще один инструмент, который позволяет настроить ограничения в выборе пароля для отдельных пользователей или групп пользователей Windows — оснастка Управление компьютером.

Если открыть данный инструмент и перейти в узел Локальные пользователи и группы, а после чего открыть Свойства какой-либо группы или пользователя, то мы сможем выбрать следующие параметры:

  • Запретить смену пароля пользователем. Данный параметр особенно полезен для общедоступных учетных данных. Другими словами, если под одной и той же учетной записью сидят сразу несколько человек, то вся эта тема может накрыться сразу после того, как один умник сменит пароль. Чтобы избежать такой радости необходимо активировать данный пункт.
  • Срок действия пароля неограничен. Что делает данный пункт, думаю, всем понятно. Особенной честью его обделяют администраторы, которым глубоко по-барабану на корпоративную политику.

Вот такими способами можно настроить политики паролей в операционной системе Windows.

Источник: http://about-windows.ru/instrumenty-windows/redaktor-lokalnoj-gruppovoj-politiki/politika-parolej/

Сроки действия и история пароля

Срок действия пароля

Так же как и приложения, пароли устаревают, потому что пользователи обычно не меняют свои пароли регулярно, используя их на протяжении нескольких лет.

Это утверждение особенно справедливо в отношении аккаунтов электронной почты провайдеров Иитернет-услуг (ISP). процедура замены паролей которых очень сложна.

Вам необходимо требовать от пользователей регулярной замены пароля, как это делают некоторые web-сайты.

Однако установить корректный интервал времени, через который необходимо менять пароль, нелегко. Если максимальный срок действия пароля составляет б месяцев, возрастает риск несанкционированного раскрытия пароля.

Но если запрашивать изменение пароля каждые 30 дней, вы скоро обнаружите, что люди начнут пользоваться шаблонами, то есть использовать последовательные пароли или пароли, основанные датах. Таким образом, слишком частое изменение паролей на деле может привести к снижению защиты системы.

Более того, если пользователь заходит на web-сайт не чаще одного раза в несколько месяцев и обнаруживает, что ему необходимо каждый раз менять свой пароль, он будет недоволен подобной системой.

Чтобы рассчитать оптимальный срок действия пароля, задайте себе несколько вопросов:1. Насколько важны защищаемые данные?2. Как часто пользователь заходит в приложение?

3. Сколько времени займет вычисление пароля, основанного на ваших требованиях по его усложнению?

Если ваше web-приложение – это система он-лайн-банка, оптимальным сроком действия пароля будет период от трёх до шести месяцев. С другой стороны, если вы занимаетесь интерактивной продажей цветов, можно разрешить пользователям не менять пароли в течение года и более.

Подсказка: Если вы хотите, чтобы пользователи меняли пароли, но не хотите навязывать им сроки действия, можно через определенные интервалы времени отправлять им сообщения по электронной почте о том, что их пароль устарел, в качестве приложения давая ссылку на быструю замену пароля. Ещё один способ, чтобы заставить пользователей менять пароль – это предоставить им право самим устанавливать срок действия пароля.

Срок действия непосредственно связан с историей пароля, которая представляет собой список предыдущих паролей, употребляемых данным пользователем. История пароля предостерегает от выбора в качестве нового пароля тот, которым он уже пользовался ранее.

Система будет отвергать пароль каждый раз, когда он будет совпадать с паролем из списка. Многие системы запоминают от трех до пяти ранее используемых паролей, однако есть и такие, которые хранят до 20 и более.

История паролей не занимает существенного объема памяти, поэтому есть смысл ее хранить.

Несмотря на установку сроков действия и историю, некоторые пользователи всё же используют один и тот же пароль повторно.

Они обходят эти меры безопасности, переустанавливая свои пароли столько раз, сколько потребуется для заполнения списка истории, а затем устанавливают этот же пароль как вновь введенный.

Противодействием этому может послужить установка длинного списка истории и минимальные требования по срокам действия пароля. Минимальный срок действия пароля – это наименьшее количество времени, которое должно пройти до того, как пользователь сможет снова поменять пароль.

Подсказка: Минимальный срок действия пароля иногда может причинять неудобства, однако дня или даже часа может быть достаточно для того, чтобы пользователь не смог многократно переустанавливать пароль, пытаясь заполнить список истории. Если вы устанавливаете минимальный срок действия пароля, убедитесь, что администраторы могут отменить эту меру.

Пароли – это не что иное, как засекреченное слово или фраза. При достаточном количестве времени взломщик, в конце концов, вычислит пароль методом прямого подбора или взломает уязвимые места операционной системы или приложении. При устаревании пароля увеличивается риск подбора этого пароля хакером.

Более того, если злоумышленник завладеет паролем и законный владелец это не обнаружит, злонамеренный доступ будет продолжаться до тех нор, пока пароль будет оставаться действительным.

Без установки срока действия пароля злоумышленник будет залезать на аккаунт до тех пор, пока пользователь вручную не поменяет свой пароль.

Установка срока действия пароля и история требуют дополнительных полей базы данных, чтобы проследить, когда пароль был установлен, и иметь возможность хранить список недавних паролей. Также существует дополнительное процессорное требование хэширования пароля и сравнения его с каждым входом списка истории.

Можно устанавливать различные сроки действия пароля, как для индивидуальных пользователей, так и для групп, или выбрать единый подход для всей системы.

Преимуществом единого метода для всей системы является то, что вы можете «угасить», сделать недействительными все пароли одновременно в случае крайней необходимости, например, если осуществлено вторжение на сервер.

Дату истечения срока действия пароля нужно проверять сразу же после того, как пользователь успешно пройдет аутентификацию в системе, но до того, как ему будет разрешен вход в систему.

Если вы организовали аутентификацию с использованием одной библиотеки, вам будет легче выполнять проверку срока действия пароля.

Если срок действия пароля ещё не истек, но уже близок к этой дате, можно предупредить пользователя о скором окончании срока действия пароля.

Перед тем как присваивать пользователю новый пароль, проверьте историю пароля и минимальный срок действия пароля.

Выводы:1. Установите максимальный срок действия пароля, подходящий вашему приложению и пользователям;2. Сохраняйте список недавних паролей для предупреждения их повторного использования;

3. Если возможно, определите минимальный временной интервал между переустановкой паролей.

Читать комментарии (1) 28 октября 2011,
4523 Веб-программирование, Защита информации в Интернете

Комментировать

Источник: https://codomaza.com/article/sroki-dejjstvija-i-istorija-parolja

Минимальный срок действия пароля (Windows 10) – Windows security

Срок действия пароля

  • 11/13/2018
  • Чтение занимает 3 мин
    • D

Область примененияApplies to

В этой статье описаны рекомендации, расположение, значения, Управление политиками и параметры безопасности для параметра политики безопасности « Минимальный срок действия пароля ».Describes the best practices, location, values, policy management, and security considerations for the Minimum password age security policy setting.

Справочные материалыReference

Параметр политики « Минимальный срок действия пароля » определяет период времени (в днях), в течение которого должен быть использован пароль, прежде чем пользователь сможет его изменить.

The Minimum password age policy setting determines the period of time (in days) that a password must be used before the user can change it. Вы можете задать значение в диапазоне от 1 до 998 дн. Кроме того, вы можете разрешить изменение пароля немедленно, установив число дней равным 0.

You can set a value between 1 and 998 days, or you can allow password changes immediately by setting the number of days to 0. Минимальный срок действия пароля должен быть меньше, чем максимальный срок действия пароля, если только не задано значение 0 для максимального срока действия пароля.

The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. Если для максимального срока действия пароля задано значение 0, минимальный срок действия пароля можно установить в диапазоне от 0 до 998.

If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998.

Возможные значенияPossible values

  • Указанное пользователем количество дней от 0 до 998User-specified number of days between 0 and 998
  • Не определеноNot defined

РекомендацииBest practices

Базовые показатели безопасности Windows рекомендуют задать Минимальный срок действия пароля в один день.Windows security baselines recommend setting Minimum password age to one day.

Установка для параметра число дней равным 0 позволяет мгновенно изменить пароль.Setting the number of days to 0 allows immediate password changes. Этот параметр не рекомендуется.This setting is not recommended.

Сочетание непосредственных изменений паролей позволяет сменить пароль на несколько раз, пока не будет выполнено требование к журналу паролей, и снова будет вновь установлен первоначальный пароль.

Combining immediate password changes with password history allows someone to change a password repeatedly until the password history requirement is met and re-establish the original password again. Например, предположим, что пароль “Ra1ny Day!”For example, suppose a password is “Ra1ny day!” а требование к истории — 24.and the history requirement is 24.

Если минимальный срок действия пароля равен 0, пароль можно изменить 24 повременными значениями в строке, пока не будет изменено обратно на “Ra1ny Day!”.If the minimum password age is 0, the password can be changed 24 times in a row until finally changed back to “Ra1ny day!”. Минимальный срок действия пароля в 1 день запрещает это.The minimum password age of 1 day prevents that.

Если вы задали пароль для пользователя и хотите, чтобы он изменил пароль, определенный администратором, необходимо установить флажок пользователь должен сменить пароль при следующем входе в систему .

If you set a password for a user and you want that user to change the administrator-defined password, you must select the User must change password at next logon check box. В противном случае пользователь не сможет изменить пароль до тех пор, пока не будет задано число дней, указанное в поле Минимальный срок действия пароля.

Otherwise, the user will not be able to change the password until the number of days specified by Minimum password age.

LocationLocation

Политика Configuration\Windows Settings\Security Settings\Account Policies\PasswordComputer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy

Значения по умолчаниюDefault values

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики.The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики.Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики (GPO)Server type or Group Policy Object (GPO)Значение по умолчаниюDefault value
Политика домена по умолчаниюDefault domain policy1 день;1 day
Политика контроллера домена по умолчаниюDefault domain controller policyНе определеноNot defined
Параметры по умолчанию отдельного сервераStand-alone server default settings0 дней0 days
Действующие параметры по умолчанию для контроллера доменаDomain controller effective default settings1 день;1 day
Действующие параметры по умолчанию для рядового сервераMember server effective default settings1 день;1 day
Действующие параметры GPO по умолчанию на клиентских компьютерахEffective GPO default settings on client computers1 день;1 day

Управление политикойPolicy management

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.This section describes features, tools, and guidance to help you manage this policy.

Необходимость перезапускаRestart requirement

Нет.None. Изменения этой политики вступают в силу без перезагрузки компьютера, когда они хранятся на локальном компьютере или распределены через групповую политику.Changes to this policy become effective without a computer restart when they are saved locally or distributed through Group Policy.

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

УязвимостьVulnerability

Пользователи могут иметь избранные пароли, которые они хотели бы использовать, так как они легко запомнить, и они считают, что их пароль безопасно защитить от несанкционированного доступа.

Users may have favorite passwords that they to use because they are easy to remember and they believe that their password choice is secure from compromise.

К сожалению, пароли могут быть скомпрометированы, а если взломщик ориентирован на определенную учетную запись пользователя, то при использовании данных этого пользователя повторное использование старых паролей может вызвать нарушение безопасности.

Unfortunately, passwords can be compromised and if an attacker is targeting a specific individual user account, with knowledge of data about that user, reuse of old passwords can cause a security breach.

Чтобы перенаправить пароль на повторное использование, необходимо использовать сочетание параметров безопасности.To address password reuse, you must use a combination of security settings. С помощью этого параметра политики с параметром политики принудительного ведения журнала паролей предотвращается простое повторное использование старых паролей.

Using this policy setting with the Enforce password history policy setting prevents the easy reuse of old passwords.

Например, если вы настроили параметр политики принудительной проверки пароля, чтобы пользователи не могли использовать какие-либо из последних 12 паролей, но не настроили для параметра ” Минимальный срок действия пароля” значение больше 0, пользователи могут изменить свой пароль 13 раз через несколько минут и повторно использовать их первоначальный пароль.For example, if you configure the Enforce password history policy setting to ensure that users cannot reuse any of their last 12 passwords, but you do not configure the Minimum password age policy setting to a number that is greater than 0, users could change their password 13 times in a few minutes and reuse their original password. Настроить для этого параметра политики число, превышающее 0 для того, чтобы параметр политики “принудительно использовать журнал паролей” был действующим.Configure this policy setting to a number that is greater than 0 for the Enforce password history policy setting to be effective.

ПротиводействиеCountermeasure

Задайте для параметра политики минимального срока действия пароля значение 1 день.Configure the Minimum password age policy setting to a value of 1 day. Пользователи должны знать это ограничение и обратиться в службу поддержки, чтобы быстрее сменить пароль.

Users should know about this limitation and contact the Help Desk to change a password sooner. Если вы настроили количество дней на 0, непосредственные изменения пароля будут разрешены, что не рекомендуется.

If you configure the number of days to 0, immediate password changes would be allowed, which we do not recommend.

Возможное влияниеPotential impact

Если вы задали пароль для пользователя, но хотите, чтобы он изменил пароль при первом входе пользователя в систему, администратор должен установить флажок требовать смену пароля при следующем входе в систему или пользователь не может сменить пароль до следующего дня.If you set a password for a user but want that user to change the password when the user first logs on, the administrator must select the User must change password at next logon check box, or the user cannot change the password until the next day.

  • Политика паролейPassword Policy

Источник: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/security-policy-settings/minimum-password-age

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.