Alterando a política de senha do Windows [closed]

Sim. Você terá problemas com auditorias PCI e auditorias federais se tiver clientes federais e outros tipos de auditores.

Mesmo que uma senha fácil de lembrar com 32 caracteres seja tecnicamente mais segura, os auditores não se importam - eles apenas têm políticas que exigem determinados requisitos de complexidade de senha, e eles entrarão em seu caso se você se desviar .

Por exemplo, minha empresa tem um auditor que exige explicitamente que os requisitos de complexidade de senha padrão do Active Directory (2008R2) sejam usados. Esses requisitos de complexidade de senha incluem limites, caracteres especiais, etc.

edit: Portanto, até que ocorra essa mudança de paradigmas na complexidade da senha, incentive seus usuários a usar um bom programa de gerenciamento de senhas como o KeePass, o LastPass ou qualquer outra coisa.

Uma sentença escrita corretamente passa a Configuração de complexidade da senha do Windows AD. "Eu amo meu cachorro Barney." tem três tipos de caracteres, que é o que o Windows quer (pelo menos). Obviamente, passa o requisito de comprimento. Assim, as "frases secretas" podem facilmente obedecer às políticas de senha do AD.

Você não pode impor tecnicamente as frases secretas, por isso é realmente uma mudança cultural que você deve defender com seus usuários. Envie e-mails informativos para eles, instruindo-os sobre como usar as senhas e as senhas e, em seguida, diga-lhes que você aumentará o mínimo para 10, mas eles poderão usar frases secretas para facilitar a vida ... apenas como um exemplo .

Este debate não é novo e eu fui vendido em 2004 por Jason Fossen da SANS fama com o maravilhoso Planilha de Análise de Cracking de Senha .