Password e passphrase Windows LAPS

Informazioni sul modo in cui vengono create password e passphrase per la Soluzione password amministratore locale di Windows (Windows LAPS).

Panoramica

Lo scopo principale di Windows LAPS è ruotare regolarmente la password di un account di Windows locale. È importante comprendere in che modo Windows LAPS genera password casuali (o passphrase casuali).

Set di caratteri password

Windows LAPS supporta cinque diverse impostazioni di complessità che possono essere usate per generare password casuali. L'impostazione dei criteri PasswordComplexity viene usata per scegliere quali set di caratteri vengono usati durante la creazione di una password.

Impostazione PasswordComplexity Descrizione Set di caratteri
1 Lettere maiuscole "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
2 Lettere maiuscole + lettere minuscole "ABCDEFGHIJKLMNOPQRSTUVWXYZ"

"abcdefghijklmnopqrstuvwxyz"
3 Lettere maiuscole + lettere minuscole + numeri "ABCDEFGHIJKLMNOPQRSTUVWXYZ"

"abcdefghijklmnopqrstuvwxyz"

"0123456789"
4 Lettere maiuscole + lettere minuscole + numeri + caratteri speciali "ABCDEFGHIJKLMNOPQRSTUVWXYZ"

"abcdefghijklmnopqrstuvwxyz"

"0123456789"

",.-+;!#&@{}[]$/()%"
5 Lettere grandi + lettere minuscole + numeri (migliore leggibilità) "ABCDEFGHJKLMNPRSTUVWXYZ"

"abcdefghijkmnpqrstuvwxyz"

"23456789"

"!#%+@:=?*"

Quando si seleziona un'impostazione di complessità con più set di caratteri, Windows LAPS garantisce che la password risultante contenga almeno un carattere scelto in modo casuale da ogni set di caratteri.

La lunghezza delle password viene controllata usando l'impostazione dei criteri PasswordLength. Le password create da Windows LAPS per impostazione predefinita hanno una lunghezza di 14 caratteri e possono essere configurate in modo che siano ovunque da 8 a 64 caratteri.

L'impostazione cinque della complessità delle password equivale all'impostazione di complessità delle password quattro, con le modifiche seguenti apportate per migliorare la leggibilità ed evitare confusione. Le differenze tra l'impostazione quattro e l'impostazione cinque sono le seguenti:

  • Rimuove le lettere 'I', 'O', 'Q', 'l' e 'o'
  • Rimuove i numeri '0' e '1'
  • Rimuove i simboli ',', '.', '&', '{', '}', '[', ']', '(', ')' e ';'
  • Aggiunge i simboli ':', '=', '?' e '*'

Importante

L'impostazione PasswordComplexity di '5' è supportata solo in Windows 11 24H2, Windows Server 2025 e versioni successive. Non è necessario distribuire i controller di dominio di Windows Server 2025 per usare questa nuova impostazione.

Elenchi di parole passphrase

Windows LAPS supporta tre diverse impostazioni di complessità che possono essere usate per generare passphrase casuali. L'impostazione dei criteri PasswordComplexity viene usata per scegliere gli elenchi di parole usati durante la creazione di una passphrase:

Impostazione PasswordComplexity Descrizione Numero di parole nell'elenco
6 Parole lunghe 7776
7 Parole brevi 1276
8 Parole brevi con prefissi univoci 1276

La lunghezza delle passphrase viene controllata usando l'impostazione dei criteri PassphraseLength. Le passphrase create da Windows LAPS per impostazione predefinita sono sei parole di lunghezza e possono essere configurate in modo da essere ovunque da tre a 10 termini di lunghezza. Il primo carattere di ogni parola è sempre maiuscolo per migliorare la leggibilità. Nessuna punteggiatura o altri caratteri di divisione vengono usati tra le parole.

Esempio di passphrase creata con sei parole tratte dall'elenco "Parole lunghe":

SkiingProduceIdentifyStarlitOctaneDistress

Gli elenchi di parole passphrase sono stati tratti da "Deep Dive: EFF's New Wordlists for Random Passphrases" di Electronic Frontier Foundation e vengono usati con una licenza CC-BY-3.0 Attribuzione. Il contenuto specifico di tutti gli elenchi di parole passphrase di Windows LAPS può essere scaricato da Windows LAPS Elenchi di passphrase. Microsoft ha apportato lievi modifiche agli elenchi di parole originali; tutte le modifiche sono descritte in dettaglio negli elenchi scaricabili.

Importante

Il supporto della passphrase di Windows LAPS è supportato solo in Windows 11 24H2, Windows Server 2025 e versioni successive. Non è necessario distribuire controller di dominio di Windows Server 2025 per usare questa nuova impostazione.

Considerazioni sull'entropia

Windows LAPS crea password e passphrase veramente casuali (nessun pregiudizio umano è possibile). È quindi semplice calcolare i bit di entropia risultante per una password\passphrase di una determinata lunghezza. La tabella seguente elenca i bit di entropia risultanti in un set di esempi di lunghezze password\passphrase.

Le impostazioni di complessità delle password supportate sono elencate nella parte superiore della tabella e le lunghezze password\passphrase sono elencate in basso a sinistra. I valori di entropia per le impostazioni predefinite di lunghezza dei criteri sono in grassetto:

Impostazione PasswordComplexity ->

Lunghezza password o passphrase

V
1 2 3 4 5 6 7 8
3 39 31 31
4 52 41 41
5 65 52 52
6 78 62 62
7 90 72 72
8 38 46 48 51 48 103 83 83
9 42 51 54 57 54 116 93 93
10 47 57 60 63 60 129 103 103
11 52 63 65 70 66
12 56 68 71 76 72
13 61 74 77 82 78
14 66 80 83 89 84
20 94 114 119 126 120
40 188 228 238 253 240
60 282 342 357 379 360

Alla fine superiore degli intervalli di lunghezza consentiti, i livelli di entropia potrebbero essere considerati eccessivi per la maggior parte degli ambienti IT normali. Si consideri in genere un compromesso di sicurezza rispetto all'usabilità. Ad esempio, è difficile per gli esseri umani leggere e digitare password lunghe e complesse. Il passaggio alle passphrase è un modo utile per migliorare questi problemi mantenendo comunque una quantità ragionevole di entropia. Se ottimizzare la sicurezza è un problema fondamentale, è consigliabile prendere in considerazione protezioni alternative, ad esempio mantenere l'account gestito in uno stato disabilitato per impostazione predefinita.

Vedi anche

Passaggi successivi

Ora che si comprende come vengono create password e passphrase, vedere queste altre sezioni.