Wymuszanie zmiany hasła

W systemach operacyjnych Microsoft Windows na ich domowych (osobistych) wersjach Home czasem brak możliwości ustalenia w panelu sterowania (ustawieniach) polityki automatycznego wymuszania zmiany haseł co jakiś okres czasu (np. miesiąc lub 30 dni). Rozwiązanie nie jest idealne, ale można to obejść konsolą. Z menu Windows wyszukując Wiersz poleceń lub cmd, prawym przyciskiem wybieramy Uruchom jako administrator (w najnowszych systemach nie zadziała poprzez skrót klawiaturowy Win+R, aktualizacja 24.09.2020).

Wiersz poleceń Microsoft Windows

Wiersz poleceń Microsoft Windows

Tam zaś wpisać kolejno:

net accounts /maxpwage:30
net accounts /minpwage:25
wmic UserAccount where Name=’X’ set PasswordExpires=True

gdzie X we fragmencie Name=’X’ oznacza nazwę (login) użytkownika Windows; maxpwage:30 oznacza liczbę dni, po których hasło wygasa; minpwage:25 — minimalną liczbę dni, po której można zmienić hasło. Aby zmienić dla kont wszystkich użytkowników, należy pominąć fragment where Name=’X’. UWAGA: niektóre przeglądarki internetowe i niektóre systemy operacyjne mogą zamienić (albo arkusz styli WordPress dla nich podmienić) powyżej znak apostrofu prostego/uproszczonego (U+0027), dostępnego bezpośrednio z klawiatury (zazwyczaj pod cudzysłowem), na nieprawidłowy w tym przypadku apostrof zgodny z zasadami polskiej typografii (U+2019). W razie błędu (error) należy ręcznie z klawiatury samemu w oknie konsoli wpisać apostrof prosty. Tym bardziej nie należy używać znaku akcentu ani innych ´ ` ‘ ′.

Hasła zgodnie z politykami (systemu = zarządzania systemem) bezpieczeństwa informacji (SZBI/SBI) muszą bowiem być zmieniane i spełniać wymagania co do złożoności. W świetle obowiązującego przed 25.05.2018 pkt A.IV.2 oraz pkt B.VIII załącznika (czyli najczęściej stosowane w świetle pkt B.XI i C.XIV załącznika i § 6 ust. 4 rozporządzenia, wobec połączenia z siecią publiczną czyli internetem) do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zmiana hasła następuje nie rzadziej niż co 30 dni oraz powinno się ono składać co najmniej z 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne. Nowe unijne ogólne (bowiem są dwa! jest jeszcze karne dotyczące skazań) rozporządzenie o ochronie danych, potocznie „RODO”, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1) nie wskazuje konkretnych wymagań wobec haseł. Należy samemu dokonać analizy ryzyka i podjąć odpowiednie środki organizacyjno-techniczne. Wskazane jest dodatkowo, by przy wymuszaniu zmiany hasła, nie można było nadawać ponownie takiego samego hasła (żeby zmiana nie była pozorna), a przy najmniej, aby tak było przez określoną ilość jego zmian, np. jeśli w styczniu hasło brzmiało abc123+, to w lutym nie będzie można wpisać ponownie abc123+ jako nowego hasła. Nie znalazłem jak wymusić zawartość hasła (litera mała, wielka, cyfra, znak specjalny), natomiast w tej samej konsoli można wymusić określoną długość (ilość znaków) hasła oraz ilość powtórzeń, która jest pamiętana:

net accounts /uniquepw:6
net accounts /minpwlen:8

gdzie minpwlen:8 oznacza minimalną liczbę znaków, a uniquepw:6 — liczbę ostatnio zmienianych haseł wstecz, które są czasowo pamiętane, tak aby kolejne hasło nie zostało z nimi powtórzone (6 to mniej więcej pół roku).

Można jeszcze wymusić wylogowanie po określonym czasie używania komputera (pracy):

net accounts /forcelogoff:540

gdzie forcelogoff:540 oznacza liczbę minut od zalogowaniu, po których nastąpi wylogowanie (nawet jeśli użytkownik wciąż aktywnie działa, i tak zostanie wylogowany). 540 minut to 9 godzin. Razem brzmi to:

net accounts /maxpwage:30
net accounts /minpwage:25
net accounts /uniquepw:6
net accounts /minpwlen:8
net accounts /forcelogoff:540
wmic UserAccount set PasswordExpires=True

 

Wypada jeszcze wymuszać automatyczne wylogowanie (blokadę ekranu) po nieaktywności użytkownika po minimum określonym czasie (liczbie minut):

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *