Пароль должен соответствовать требованиям к сложности Password must meet complexity requirements

Область применения Applies to

В этой статье описываются лучшие методики, расположение, **** значения и вопросы безопасности для пароля, которые должны соответствовать требованиям к сложности настройки политики безопасности. Describes the best practices, location, values, and security considerations for the Password must meet complexity requirements security policy setting.

Справочные материалы Reference

Параметр политики «Пароли должны соответствовать требованиям к сложности» определяет, должны ли пароли соответствовать ряду рекомендаций по надежных паролям. The Passwords must meet complexity requirements policy setting determines whether passwords must meet a series of strong-password guidelines. Если этот параметр включен, пароли необходимы для удовлетворения следующих требований: When enabled, this setting requires passwords to meet the following requirements:

Пароли могут не содержать значение samAccountName пользователя (имя учетной записи) или полное значение displayName (полное имя). Passwords may not contain the user’s samAccountName (Account Name) value or entire displayName (Full Name value). В обеих проверках не занося чувствительность к делу. Both checks are not case-sensitive.

SamAccountName проверяется полностью, только чтобы определить, является ли он частью пароля. The samAccountName is checked in its entirety only to determine whether it is part of the password. Если samAccountName имеет длину менее трех символов, эта проверка пропускается. If the samAccountName is fewer than three characters long, this check is skipped. DisplayName разберется для разных знаков: запятых, токенов, дефис или дефис, подчеркивая, пробелы, знаки с запятой и вкладки. The displayName is parsed for delimiters: commas, periods, dashes or hyphens, underscores, spaces, pound signs, and tabs. При обнаружении какого-либо из этих разделов displayName разделяется, и все разделы (маркеры) для различения подтверждаются, что они не включены в пароль. If any of these delimiters are found, the displayName is split and all parsed sections (tokens) are confirmed not to be included in the password. Маркеры меньше трех символов игнорируются, а подстроки маркеров не проверяются. Tokens that are shorter than three characters are ignored, and substrings of the tokens are not checked. Например, имя «Erin M. Hagens» разделено на три маркера: «Erin», «M» и «Havens». For example, the name «Erin M. Hagens» is split into three tokens: «Erin», «M», and «Havens». Так как второй маркер имеет только один символ, он игнорируется. Because the second token is only one character long, it is ignored. Таким образом, у этого пользователя не может быть пароля, включающий «erin» или «havens» в качестве подстроки в любом месте пароля. Therefore, this user could not have a password that included either «erin» or «havens» as a substring anywhere in the password.

Пароль содержит символы из трех из следующих категорий: The password contains characters from three of the following categories:

• Буквы в верхнем регистре для европейских языков (от A до Z с диакритическими знаками, греческими и кириллическими знаками) Uppercase letters of European languages (A through Z, with diacritic marks, Greek and Cyrillic characters)
• Буквы в нижнем регистре европейских языков (от a до z, с диакритическими знаками, греческими и кириллическими знаками) Lowercase letters of European languages (a through z, sharp-s, with diacritic marks, Greek and Cyrillic characters)
• 10 базовых цифр (от 0 до 9) Base 10 digits (0 through 9)
• Не буквы и цифры (специальные символы): (

!@#$%^&*-+=’|\() <> []:;»‘ <>. /) Символы валюты, такие как «Евро» или «Английские символы», не считаются специальными символами для этого параметра политики. Non-alphanumeric characters (special characters): (

!@#$%^&*-+=`|\()<>[]:;»‘<>. /) Currency symbols such as the Euro or British Pound aren’t counted as special characters for this policy setting.

Любой символ Юникода, классифицируемый в алфавитном порядке, но не в верхнем или нижнем регистре. Any Unicode character that’s categorized as an alphabetic character but isn’t uppercase or lowercase. Эта группа включает символы Юникода из азиатских языков. This group includes Unicode characters from Asian languages.

Требования к сложности применяются при смене или создании паролей. Complexity requirements are enforced when passwords are changed or created.

Правила, включенные в требования к сложности паролей Windows Server, входят в Passfilt.dll и не могут быть изменены напрямую. The rules that are included in the Windows Server password complexity requirements are part of Passfilt.dll, and they cannot be directly modified.

Если эта возможность включена, Passfilt.dll вызвать дополнительные вызовы службы поддержки для заблокированных учетных записей, так как пользователи не используются для паролей, содержащих символы, которые не включены в алфавит. When enabled, the default Passfilt.dll may cause some additional Help Desk calls for locked-out accounts because users aren’t used to passwords that contain characters that aren’t in the alphabet. Но этот параметр политики достаточно уныл, чтобы все пользователи к этому привыкли. But this policy setting is liberal enough that all users should get used to it.

Дополнительные параметры, которые можно включить в настраиваемую Passfilt.dll, — это использование символов, не включаемые в верхние строки. Additional settings that can be included in a custom Passfilt.dll are the use of non–upper-row characters. Чтобы ввести символы верхнего ряда, удерживайте клавишу SHIFT и нажимаете одну из клавиш в строке номеров клавиатуры (от 1 до 9 и 0). To type upper-row characters, you hold the SHIFT key and press one of any of the keys on the number row of the keyboard (from 1 through 9 and 0).

Возможные значения Possible values

• Enabled Enabled
• Отключено Disabled
• Не определено Not defined

Рекомендации Best practices

Последние рекомендации см. в руководстве по паролям. For the latest best practices, see Password Guidance.

Настройка паролей должна соответствовать требованиям к сложности для «Включено». Set Passwords must meet complexity requirements to Enabled. Этот параметр политики в сочетании с минимальной длиной пароля 8 обеспечивает не менее 218 340 105 584 896 разных возможностей для одного пароля. This policy setting, combined with a minimum password length of 8, ensures that there are at least 218,340,105,584,896 different possibilities for a single password. Этот параметр делает атаку с атакой с перехунышом, но по-прежнему не является невозможной. This setting makes a brute force attack difficult, but still not impossible.

Использование сочетаний клавиш ALT может значительно повысить сложность пароля. The use of ALT key character combinations can greatly enhance the complexity of a password. Однако требование, чтобы все пользователи в организации соблюдали такие строгие требования к паролям, может привести к неумеяющим пользователям и неработающей службе поддержки. However, requiring all users in an organization to adhere to such stringent password requirements can result in unhappy users and an over-worked Help Desk. Рассмотрите возможность реализации требования в организации использовать символы ALT в диапазоне от 0128 до 0159 в составе всех паролей администратора. Consider implementing a requirement in your organization to use ALT characters in the range from 0128 through 0159 as part of all administrator passwords. (Символы ALT вне этого диапазона могут представлять стандартные буквы и цифры, которые не усложняют пароль.) (ALT characters outside of that range can represent standard alphanumeric characters that do not add additional complexity to the password.)

Пароли, содержащие только буквы и цифры, легко скомпрометировать с помощью общедоступных средств. Passwords that contain only alphanumeric characters are easy to compromise by using publicly available tools. Во избежание этого пароли должны содержать дополнительные символы и соответствовать требованиям к сложности. To prevent this, passwords should contain additional characters and meet complexity requirements.

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy

Значения по умолчанию Default values

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики (GPO) Server type or Group Policy Object (GPO)	Значение по умолчанию Default value
Политика домена по умолчанию Default domain policy	Включено Enabled
Политика контроллера домена по умолчанию Default domain controller policy	Включено Enabled
Параметры по умолчанию для отдельного сервера Stand-alone server default settings	Отключено Disabled
Параметры по умолчанию для контроллера домена Domain controller effective default settings	Включено Enabled
Эффективные параметры по умолчанию для серверов-членов Member server effective default settings	Включено Enabled
Эффективные параметры GPO по умолчанию на клиентских компьютерах Effective GPO default settings on client computers	Отключено Disabled

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Пароли, содержащие только буквы и цифры, очень просты в обнаружении с помощью нескольких общедоступных средств. Passwords that contain only alphanumeric characters are extremely easy to discover with several publicly available tools.

Противодействие Countermeasure

Настройка паролей должна соответствовать параметру политики сложности «Включено» и порекомендовать пользователям использовать различные символы в паролях. Configure the Passwords must meet complexity requirements policy setting to Enabled and advise users to use a variety of characters in their passwords.

В сочетании с минимальной длиной пароля 8 этот параметр политики гарантирует, что количество различных возможностей для одного пароля настолько велико, что успешное (но не невозможно) успешное атака с помощью атак с помощью атак с атакой с помощью атак перехимки будет трудно (но не невозможно). When combined with a Minimum password length of 8, this policy setting ensures that the number of different possibilities for a single password is so great that it is difficult (but not impossible) for a brute force attack to succeed. (При увеличении параметра политики минимальной длины пароля также увеличивается среднее время, необходимое для успешной атаки.) (If the Minimum password length policy setting is increased, the average amount of time necessary for a successful attack also increases.)

Возможное влияние Potential impact

Если конфигурация сложности паролей по умолчанию сохранена, могут возникнуть дополнительные вызовы службы поддержки для заблокированных учетных записей, так как пользователи могут не привыкли к паролям, которые содержат не алфавитные символы, или могут возникнуть проблемы с вводом паролей, содержащих знаки или символы с акцентами на клавиатурах с разными макетами. If the default password complexity configuration is retained, additional Help Desk calls for locked-out accounts could occur because users might not be accustomed to passwords that contain non-alphabetical characters, or they might have problems entering passwords that contain accented characters or symbols on keyboards with different layouts. Однако все пользователи должны соответствовать требованию сложности с минимальными сложностами. However, all users should be able to comply with the complexity requirement with minimal difficulty.

Если в организации предъявляются более строгие требования к безопасности, можно создать настраиваемую версию файла Passfilt.dll, которая позволяет использовать произвольно сложные правила обеспечения безопасности паролей. If your organization has more stringent security requirements, you can create a custom version of the Passfilt.dll file that allows the use of arbitrarily complex password strength rules. Например, для пользовательского фильтра паролей может потребоваться использовать символы, не верхней строки. For example, a custom password filter might require the use of non-upper-row symbols. (Символы верхнего ряда — это символы, которые требуют нажатия и удержания клавиши SHIFT, а затем нажатия клавиш в строке номеров клавиатуры от 1 до 9 и 0.) Настраиваемый фильтр паролей также может выполнить проверку словаря, чтобы убедиться, что предложенный пароль не содержит общих слов словаря или фрагментов. (Upper-row symbols are those that require you to press and hold the SHIFT key and then press any of the keys on the number row of the keyboard, from 1 through 9 and 0.) A custom password filter might also perform a dictionary check to verify that the proposed password does not contain common dictionary words or fragments.

Использование сочетаний клавиш ALT может значительно повысить сложность пароля. The use of ALT key character combinations can greatly enhance the complexity of a password. Однако такие строгие требования к паролям могут привести к дополнительным запросам службы поддержки. However, such stringent password requirements can result in additional Help Desk requests. Кроме того, ваша организация может рассмотреть требование для всех паролей администратора использовать символы ALT в диапазоне от 0128 до 0159. Alternatively, your organization could consider a requirement for all administrator passwords to use ALT characters in the 0128–0159 range. (Символы ALT за пределами этого диапазона могут представлять стандартные буквы и цифры, которые не усложняют пароль.) (ALT characters outside of this range can represent standard alphanumeric characters that would not add additional complexity to the password.)

Изменение или сброс пароля для Windows

Если вы забыли или потеряли пароль для Windows 10, Windows 8 1 или Windows 7, его можно изменить или сбросить. Чтобы начать работу, выберите свою версию Windows в раскрывающемся меню Выбор версии продукта.

Если вы уже знаете текущий пароль и хотите изменить его

Перейдите в раздел Пуск > Параметры > Учетные записи > Параметры входа . В разделе Пароль нажмите кнопку Изменить и следуйте инструкциям.

Сброс пароля локальной учетной записи Windows 10

Если вы забыли или потеряли пароль для локальной учетной записи Windows 10 и вам нужно снова выполнить вход в устройство, попробуйте использовать представленные ниже решения. Дополнительные сведения о локальных и административных учетных записях см. в статье Создание учетной записи локального пользователя или администратора в Windows 10.

В Windows 10 версии 1803 и выше

Если во время настройки локальной учетной записи для Windows 10 вы добавили контрольные вопросы, это означает, что у вас установлена версия не ниже 1803 и вы можете ответить на них, чтобы снова войти в систему.

После ввода неверного пароля выполните следующие действия.

Выберите ссылку Сброс пароля на экране входа. Если вместо этого вы используете ПИН-код, см. раздел Проблемы, связанные со входом с помощью ПИН-кода. Если вы используете рабочее устройство в сети, пункт сброса ПИН-кода может не отобразиться. В этом случае обратитесь к своему администратору.

Примечание: Если контрольные вопросы не отображаются на экране после того, как вы выбрали ссылку Сброс пароля, убедитесь, что имя устройства не совпадает с именем учетной записи локального пользователя (имя, которое вы видите при входе). Чтобы увидеть имя устройства, щелкните правой кнопкой мыши кнопку «Начните» на панели задач, выберите «Система» и перейдите в раздел «Спецификации устройства». Если имя устройства совпадает с именем учетной записи, вы можете создать новую учетную запись администратора, войти в систему как администратор, а затем переименовать свой компьютер (при просмотре имени устройства можно также переименовать устройство).

Ответьте на контрольные вопросы.

Введите новый пароль.

Войдите в систему обычным образом с новым паролем.

Windows 10 до версии 1803

Для версий Windows 10 ниже 1803 пароли к локальным учетным записям нельзя сбросить, так как в этих версиях отсутствуют контрольные вопросы. Вы можете сбросить устройство, чтобы выбрать новый пароль, но при этом данные, программы и параметры будут удалены без возможности восстановления. Если вы выполнили резервное копирование файлов, вы сможете восстановить удаленные файлы. Дополнительные сведения см. в статье Параметры восстановления в Windows 10.
Чтобы сбросить параметры устройства, удалите данные, программы и параметры.

Нажимая клавишу SHIFT, нажмите кнопку питания> перезапустить в правом нижнем углу экрана.

На экране Выбор действия выберите пункт Диагностика > Вернуть компьютер в исходное состояние.

Выберите команду Удалить все.

Предупреждение: При возврате устройства в исходное состояние будут удалены все данные, программы и параметры.

Сброс пароля учетной записи Майкрософт, который вы используете на компьютере

На экране входа введите имя учетной записи Майкрософт, если оно еще не отображается. Если на компьютере используется несколько учетных записей, выберите ту из них, пароль которой требуется сбросить. Выберите Забыли пароль под текстовым полем пароля. Следуйте инструкциям, чтобы сбросить пароль.

Устранение проблем со входом

Если у вас по-прежнему возникают проблемы со входом в учетную запись, ознакомьтесь с другими решениями в статье Устранение проблем со входом.

Сброс пароля

Примечание: Если вы забыли свой пароль для Windows 10, следуйте инструкциям из статьи Сброс пароля локальной учетной записи Windows 10.

Если вы забыли свой пароль для Windows 8.1, его можно восстановить несколькими способами:

Если ваш компьютер введен в домен, системный администратор должен сбросить ваш пароль.

Если вы используете учетную запись Майкрософт, пароль можно сбросить через Интернет. Подробнее: Как сбросить пароль учетной записи Майкрософт.

Если вы работаете с локальной учетной записью, используйте в качестве напоминания подсказку о пароле.

Если войти все равно не удается, необходимо переустановить Windows. Что касается переустановки Windows RT 8.1, обратитесь к производителю компьютера.

Дополнительная справка по паролям в Windows 8.1

Если вы забыли или потеряли свой пароль, следуйте инструкциям из раздела Сброс пароля выше, чтобы сбросить или восстановить его.

Если вы думаете, что пароль вашей учетной записи Майкрософт взломан или украден злоумышленником, мы можем помочь. Подробнее см. в разделе Не удается войти в учетную запись Майкрософт.

Да, если вход выполняется только на локальный компьютер. Тем не менее рекомендуется защитить компьютер с помощью надежного пароля. При использовании пароля только пользователь, знающий его, может войти в систему. Пароль необходим, если требуется войти в Windows с учетной записью Майкрософт. Дополнительные сведения см. в документе «Можно ли войти в Windows без пароля?». Дополнительные данные об учетных записях Майкрософт и локальных учетных записях см. в теме «Создание учетной записи пользователя».

Надежные пароли содержат разнообразные символы, в том числе строчные и прописные буквы, цифры и специальные символы или пробелы. Надежный пароль сложно угадать или взломать злоумышленнику. Такой пароль не должен содержать целое слово или данные, которые легко узнать, например ваше реальное имя, имя пользователя или дату рождения.

Пароль для входа с учетной записью Майкрософт может содержать не более 16 символов. Дополнительные сведения об учетных записях Майкрософт см. в статье Создание учетной записи пользователя.

Вы можете регулярно обновлять пароль, чтобы обеспечить лучшую защиту. Если ваш компьютер не подключен к домену, сделайте следующее:

Проведите пальцем от правого края экрана и нажмите кнопку Параметры, а затем выберите пункт Изменение параметров компьютера.
(Если вы используете мышь, найдите правый нижний угол экрана, переместите указатель мыши вверх, щелкните «Параметры» и выберите «Изменить параметры компьютера».)

Выберите элемент Учетные записи, а затем Параметры входа.

Нажмите или щелкните элемент Изменить пароль и следуйте указаниям.

Если компьютер подключен к домену, то системный администратор может задавать период обязательной смены пароля. Чтобы изменить пароль:

Если вы пользуетесь клавиатурой, нажмите клавиши CTRL+ALT+DEL, выберите пункт Сменить пароль и следуйте указаниям.

На планшетном ПК нажмите и удерживайте кнопку Windows, нажмите кнопку питания, а затем выберите команду Сменить пароль и следуйте инструкциям на экране.

Это зависит от того, используете ли вы сторонний электронный адрес. Если ваш адрес электронной почты заканчивается на outlook.com, hotmail.com, live.com или название другой службы Майкрософт, то при изменении пароля учетной записи Майкрософт также изменится пароль в службе электронной почты.

Однако для учетной записи Майкрософт можно использовать любой электронный адрес, в том числе сторонней почтовой веб-службы, такой как Yahoo! или Gmail. При выборе пароля для учетной записи Майкрософт пароль, необходимый для входа на сайт сторонней почтовой веб-службы, не изменяется.

Создайте графический пароль, чтобы входить в систему с помощью жестов, а не ввода символов.

Проведите пальцем от правого края экрана и нажмите кнопку Параметры, а затем выберите пункт Изменение параметров компьютера.
(Если вы используете мышь, найдите правый нижний угол экрана, переместите указатель мыши вверх, щелкните «Параметры» и выберите «Изменить параметры компьютера».)

Выберите элемент Учетные записи, а затем Параметры входа.

В разделе Графический пароль нажмите кнопку Добавить и следуйте указаниям.

Выбирайте для своей учетной записи пользователя такой пароль, который вы сможете запомнить. Он вам еще пригодится!

Конечно, можно записать пароль и хранить его в надежном месте. Тем не менее не стоит приклеивать бумажку с паролем на обратную сторону ноутбука или внутри выдвижного ящика стола. Если вы все-таки решили записать пароль, храните его отдельно от компьютера.

Для большей безопасности рекомендуется использовать разные пароли для разных целей. Например, разумно пользоваться совершенно непохожими паролями для учетной записи в социальной сети и для интернет-банка.

Если вы забыли или потеряли пароль, можно попробовать сбросить или восстановить его несколькими способами. Дополнительные сведения о том, как сбросить или восстановить пароль, представлены в разделе Сброс пароля выше.

Сброс пароля

Компьютер введен в домен

Чтобы начать работу, панель управления,выберите «Учетные записи пользователей», выберите «Учетные записи пользователей», а затем выберите «Управление учетной записью пользователя». Если вам будет предложено ввести пароль администратора или подтверждение, введите пароль или подскакийте его.

На вкладке «Пользователи» в разделе Пользователи этого компьютера нажмите имя нужной учетной записи пользователя и выберите Сброс пароля.

Введите новый пароль, подтвердите его и нажмите кнопку ОК.

Компьютер состоит в рабочей группе

При вводе неправильного пароля во время входа в Windows появляется сообщение о том, что пароль неправильный. Нажмите кнопку ОК, чтобы закрыть это сообщение.

Выберите Сброс пароля и вставьте диск или USB-устройство флэш-памяти для сброса пароля.

Следуйте инструкциям мастера сброса пароля, чтобы создать новый пароль.

Войдите в систему с новым паролем. Если вы снова забыли пароль, используйте тот же диск сброса пароля. Создавать новый диск не нужно.

Примечание: Если администратор сбросит ваш пароль, вы можете потерять доступ к некоторым файлам.

Изменение пароля

Нажмите клавиши CTRL+ ALT+ DELETE, а затем выберите пункт Изменить пароль.

Введите старый пароль, затем новый пароль (согласно инструкциям), после чего введите новый пароль еще раз для его подтверждения.

Нажмите клавишу Ввод.

Примечание: Если вы вошли в систему как администратор, вы можете создать или изменить пароли для всех учетных записей пользователей на компьютере.

Предупреждение: Если вы измените пароль для другой учетной записи с помощью учетной записи администратора, то все зашифрованные файлы или электронные сообщения этой другой учетной записи будут недоступны ее пользователю.