Si fa un gran parlare in questi giorni di una misura di sicurezza integrata in Windows che permette di bloccare automaticamente l’accesso al sistema operativo dopo l’errata digitazione della password associata ai vari account utente.
Per procedere in tal senso basta aprire il prompt dei comandi con i diritti di amministratore (digitare cmd
nella casella di ricerca quindi premere CTRL+MAIUSC+INVIO
) quindi digitare ciò che segue:
In questo caso ogni account utente sulla macchina verrà bloccato dopo la digitazione errata della password per cinque volte consecutive.
Il comando net accounts /lockoutwindow:5
permette di indicare il numero di minuti che devono prima che il contatore dei tentativi di accesso non riusciti venga reimpostato su 0.
Infine il comando net accounts /lockoutduration:5
permette di definire il numero di minuti per cui un account bloccato deve restare tale prima di essere sbloccato automaticamente da parte di Windows.
Le stesse impostazioni sono accessibili tramite l’Editor Criteri di gruppo locali premendo Windows+R
quindi scrivendo gpedit.msc
(solo nelle edizioni Pro, Enterprise ed Education). È poi necessario fare riferimento alla sezione Configurazione computer, Impostazioni di Windows, Impostazioni sicurezza, Criteri di blocco account.
Il fatto è che a meno che il sistema Windows 10 non faccia parte di un dominio, esiste ancora oggi una procedura che permette di modificare la password di qualunque account utente presente sul sistema o creare al boot un nuovo account dotato di diritti amministrativi, eventualmente cancellabile in secondo tempo. La procedura è illustrata nell’articolo Password dimenticata Windows 10: esclusivo, come accedere al sistema ed è tanto semplice quanto avviare un file batch dal supporto d’installazione di Windows 10.
La Soglia di blocchi dell’account è un meccanismo utile per difendersi dagli attacchi brute force tesi a “indovinare” la password usata a protezione di un account utente ma si tratta di una misura di sicurezza inefficace nel caso di espedienti come quello illustrato (almeno nel caso di PC singoli, non gestiti attraverso un controller di dominio).