¿Cómo me impide la "autenticación de dominio de Microsoft" usar variantes de contraseña?

Navega tus respuestas
0

He leído Actualizaciones de contraseña secuenciales y soy consciente de varias técnicas para prevenir los usuarios de utilizar variantes de contraseña. Mi pregunta es, ¿cuál de estas técnicas se usa realmente en la autenticación de usuarios en un servidor de dominio de Microsoft? No soy un experto en software de servidor. Lo que quiero decir es el (supuestamente) backend común para la administración de usuarios y la autenticación de los intentos de inicio de sesión en las cuentas de usuarios de dominio con Windows, Outlook, Outlook Web Access, que todos parecen (pueden) usar el mismo datos y haga cumplir las mismas reglas de contraseña, incluida la prevención de la reutilización de subcadenas de contraseñas históricas.

¿Hay alguna información disponible en las pruebas sistemáticas? ¿Se ha filtrado el código fuente que impulsa esta prevención de variaciones? ¿O qué más se sabe? Por ejemplo, ¿cuántos o hace cuánto tiempo se almacenan los hashes de contraseña antiguos? ¿Qué variantes están pre-hash y almacenadas a lo largo de una nueva contraseña? ¿Qué es lo que está arreglado y qué pueden configurar los administradores?

Antecedentes: soy un usuario interesado y estoy harto de tener que cambiar mi contraseña cada 90 días sin ningún motivo. Los administradores de TI no admitirán que es una idea sin sentido, a pesar de las recomendaciones recientes de NIST. No es una cuenta terriblemente importante, así que por supuesto recurro al uso de variantes de contraseña. Simplemente quiero simplificar mi vida al poder predecir qué variantes de contraseña están permitidas. Por lo general, en un trimestre dedico entre 10 y 20 minutos a crear una nueva variante permitida.

    
pregunta bers 09.09.2017 - 11:03
fuente

2 respuestas

1

la complejidad de la contraseña del dominio de Windows se aplica mediante la política de grupo, la información completa sobre lo que significa el requisito de "complejidad de la contraseña" en Windows está disponible aquí: enlace

pero aquí están los aspectos más destacados:

  • No puede contener su nombre de usuario (con el que inicia sesión)
  • Puede que no contenga ninguna parte de su nombre completo (hay un párrafo completo en la página técnica que define lo que significa una 'parte')
  • Puede que no sea una de las X contraseñas antiguas (el número X es configurable por los administradores)
  • Debe tener al menos X caracteres (el número X es configurable por los administradores)
  • Debe contener 3 de 5 de las siguientes categorías
    • a-z (alfabeto en minúsculas)
    • A-Z (alfabeto en mayúsculas)
    • 0-9 (numérico)
    • símbolos / caracteres no alfanuméricos (! @ # $% ^ & *, etc.)
    • caracteres Unicode extendidos (caracteres chinos / japoneses, etc.)

A menos que hayan implementado una solución de terceros, no hay opción de 'subcadenas de contraseñas antiguas'. Mi recomendación es que si está interesado en utilizar la recomendación de contraseña de NIST, elegiría una nueva frase de contraseña cada trimestre y luego agregaría un extremo numérico / símbolo (que puede permanecer del mismo trimestre a trimestre).

por ejemplo

q1: Jumpingtheshark382 ## @

q2: Talktothehandhand2 ## @

q3: Él está asistiendo a la distancia 382 ## @

etc.

    
respondido por el K.B. 11.12.2017 - 03:56
fuente
0

Es muy probable que los administradores de su dominio hayan tomado decisiones en línea con las mejores prácticas de la industria, o una decisión de política de seguridad que se haya tomado desde una perspectiva de gobernabilidad de la seguridad.

Muchas organizaciones definen estas configuraciones utilizando complejidad de la contraseña y < a href="https://technet.microsoft.com/en-us/library/hh994571(v=ws.11).aspx"> history , sin embargo, algunas organizaciones de ADDS usarán políticas de contraseñas detalladas (aunque esto suele ser para administradores o usuarios con niveles de acceso más riesgosos).

Proporcione comentarios a sus administradores de TI, para que puedan considerar la experiencia del usuario al diseñar servicios y señalarlos a las recomendaciones de NIST.

Tenga en cuenta que, aunque la orientación ha cambiado, eso no significa que el nivel de riesgo / apetito de su organización se ajustará automáticamente (por ejemplo, si aún no está complementando el inicio de sesión de dominio con la autenticación de múltiples factores).

    
respondido por el Qaos 12.09.2017 - 00:47
fuente

Lea otras preguntas en las etiquetas

certificado a punto de caducar, ¿se necesita CSR? [duplicar] ¿Cómo puedo detectar un MITM cuando el interlocutor de comunicación está involucrado?