Impostare scadenza e lunghezza password Windows 11

Come configurare la scadenza delle credenziali, impedire il riutilizzo di vecchie password e imporre un numero minimo di caratteri su Windows

La password di Windows non è importante soltanto per proteggere l'accesso al PC Microsoft da parte di altre persone che vivono o lavorano con noi, ma anche per metterlo al sicuro da accessi remoti non autorizzati e tentativi di hacking che possono prendere il controllo del computer. Questo è vero sopratutto se si utilizza un computer portatile in posti diversi da casa e computer condivisi all'interno degli uffici.

Dopo aver visto la guida per cambiare password Windows 10 e Windows 11, facciamo qui un passo in avanti scoprendo come si possa rendere più forte questa password imponendo una lunghezza minima e una scadenza dopo la quale si rende necessario cambiarla per forza. Questo si può fare per tutti gli account locali del PC e ciascun utente su Windows 10 o su Windows 11.

Configurare i Criteri di Gruppo (Metodo Grafico)

Sulle edizioni Windows 11 Pro ed Enterprise, lo strumento di gestione è l'Editor Criteri di gruppo locali. Questo pannello permette di definire le regole del "gioco" per tutti gli utenti della macchina.

Per accedervi, premere la combinazione `Win + R`, digitare `gpedit.msc` e dare Invio. All'interno dell'editor, espandere il percorso nella colonna di sinistra:
Configurazione computer > Impostazioni di Windows > Impostazioni sicurezza > Criteri account > Criteri password.

Nel pannello di destra si trovano le impostazioni chiave su cui agire:

Validità massima password: Definisce dopo quanti giorni la password scade. Un valore standard aziendale è 90 giorni (o 180 per essere meno oppressivi). Impostando 0, la password non scade mai.
Lunghezza minima password: Determina il numero di caratteri necessari. Oggi non ha senso scendere sotto gli 8 caratteri; per una sicurezza elevata si punta a 12 o 14.
Imponi cronologia password: Questo è il parametro che molti dimenticano. Se impostato a "0", l'utente costretto a cambiare password potrebbe rimettere la stessa appena scaduta. Impostando questo valore a 5 o 10, Windows memorizza le ultime password usate e impedisce di riutilizzarle, costringendo a crearne una davvero nuova.
La password deve soddisfare i requisiti di complessità: Se attivato (Abilitato), non basta raggiungere la lunghezza minima: la password dovrà contenere obbligatoriamente tre dei seguenti quattro elementi: maiuscole, minuscole, numeri, simboli. Inoltre, non potrà contenere il nome dell'account utente.

Impostazione tramite Riga di Comando (Per Windows Home)

Chi utilizza Windows 11 Home non ha accesso diretto a gpedit, ma il motore di sicurezza sottostante è lo stesso e risponde perfettamente ai comandi testuali. Questo metodo è immediato e non richiede software esterni.

Aprire il menu Start, cercare cmd (o Terminale), fare clic destro e scegliere Esegui come amministratore.

1. Verificare lo stato attuale

Prima di modificare qualsiasi cosa, è utile vedere le regole già attive digitando:
`net accounts`
Il sistema mostrerà la durata massima, minima e la lunghezza richiesta attuali.

2. Impostare la scadenza (MaxPwAge)

Per obbligare il cambio password dopo un certo numero di giorni, usare il comando:
`net accounts /maxpwage:90`
(Sostituire 90 con i giorni desiderati. Scrivere `unlimited` per togliere la scadenza).

3. Impostare la lunghezza minima (MinPwLen)

Per evitare password troppo corte, digitare:
`net accounts /minpwlen:10`
(Sostituire 10 con il numero minimo di caratteri. Il massimo consentito è 20, ma raramente serve andare oltre 14 in ambito domestico).

4. Impedire il riciclo delle password (UniquePw)

Per attivare la cronologia e impedire di riusare le ultime 5 password:
`net accounts /uniquepw:5`

Se il comando restituisce "Esecuzione comando riuscita", la policy è attiva istantaneamente. Non serve riavviare.

Eccezioni: Rimuovere la scadenza per un solo utente

Applicare una policy rigida a livello di sistema può creare problemi ad account di servizio, account usati per i backup o per i media center che devono accedere automaticamente alle cartelle di rete. Se la password scade, questi servizi si bloccano.

È possibile esentare un singolo utente dalle regole generali impostate sopra:

Premere `Win + R` e digitare `netplwiz` (funziona su tutte le versioni).
Andare sulla scheda Avanzate. In alcuni aggiornamenti recenti di Windows 11 la gestione avanzata è spostata, quindi il metodo più sicuro è usare la gestione computer: premere `Win + X` e selezionare Gestione computer.
Espandere Utenti e gruppi locali > Utenti.
Fare doppio clic sull'utente da "proteggere" dalla scadenza.
Nella scheda Generale, mettere la spunta su Nessuna scadenza password.

Questa spunta ha priorità sui criteri globali: anche se il sistema impone il cambio ogni 30 giorni, questo specifico utente non verrà mai disturbato.

Dettagli tecnici

Account Microsoft vs Locali: Tutto ciò che è stato descritto vale solo per gli account locali. Se si accede al PC con la mail (Outlook, Hotmail), le regole di lunghezza e scadenza sono gestite dai server Microsoft e non modificabili dal PC. Per proteggere quegli account, bisogna attivare la verifica in due passaggi sul sito Microsoft Security.
Il blocco "Validità minima": Esiste un parametro correlato chiamato minpwage (validità minima). Se impostato a 0, un utente può cambiare la password 10 volte in un minuto pur di tornare alla sua preferita (se la cronologia è attiva). Impostare la validità minima a 1 giorno impedisce questo trucco.
Messaggio di avviso: Windows avvisa l'utente che la password sta per scadere. Di default lo fa 5 giorni prima. Se si vuole aumentare questo preavviso, bisogna intervenire nel Registro di sistema alla chiave `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon` modificando il valore `PasswordExpiryWarning`.
Windows Hello (PIN): Anche se si usa il PIN o l'impronta digitale, la password sottostante è soggetta a scadenza. Quando scade, il PIN smette di funzionare finché non si accede con la password completa e la si aggiorna.