Eliminace chybná hesla pomocí microsoft Entra Password Protection
Mnoho bezpečnostních pokynů doporučuje, abyste nepoužívejte stejné heslo na více místech, aby bylo složité a abyste se vyhnuli jednoduchým heslům, jako je Password123. Uživatelům můžete poskytnout pokyny, jak zvolit hesla, ale slabá nebo nezabezpečená hesla se často používají. Microsoft Entra Password Protection detekuje a blokuje známá slabá hesla a jejich varianty a může také blokovat další slabé termíny, které jsou specifické pro vaši organizaci.
U microsoft Entra Password Protection se výchozí globální seznamy zakázaných hesel automaticky použijí pro všechny uživatele v tenantovi Microsoft Entra. Pokud chcete podporovat vlastní potřeby v oblasti podnikání a zabezpečení, můžete definovat položky ve vlastním seznamu zakázaných hesel. Když uživatelé změní nebo resetují svá hesla, zkontrolují se tyto seznamy zakázaných hesel, aby bylo možné vynutit použití silných hesel.
Měli byste používat další funkce, jako je vícefaktorové ověřování Microsoft Entra, a ne jen spoléhat na silná hesla vynucovaná službou Microsoft Entra Password Protection. Další informace o používání více vrstev zabezpečení pro události přihlášení najdete v tématu Pa$$word nezáleží.
Důležité
Tento koncepční článek vysvětluje správci, jak microsoft Entra Password Protection funguje. Pokud jste koncový uživatel už zaregistrovaný pro samoobslužné resetování hesla a potřebujete se vrátit ke svému účtu, přejděte na https://aka.ms/ssprstránku .
Pokud váš IT tým nepovolil resetování vlastního hesla, obraťte se na helpdesk.
Globální seznam zakázaných hesel
Tým Microsoft Entra ID Protection neustále analyzuje telemetrická data zabezpečení Microsoft Entra, která hledají běžně používaná slabá nebo ohrožená hesla. Konkrétně analýza hledá základní termíny, které se často používají jako základ pro slabá hesla. Když se najdou slabé termíny, přidají se do globálního seznamu zakázaných hesel. Obsah globálního seznamu zakázaných hesel není založený na žádném externím zdroji dat, ale na výsledcích telemetrie a analýzy zabezpečení Microsoft Entra.
Při změně nebo resetování hesla pro libovolného uživatele v tenantovi Microsoft Entra se k ověření síly hesla použije aktuální verze globálního seznamu zakázaných hesel. Tato kontrola ověření vede k silnějším heslům pro všechny zákazníky Microsoft Entra.
Globální zakázaný seznam hesel se automaticky použije pro všechny uživatele v tenantovi Microsoft Entra. Není potřeba nic povolit ani nakonfigurovat a nejde ho zakázat. Tento globální zakázaný seznam hesel se použije pro uživatele, když změní nebo resetují svoje vlastní heslo prostřednictvím Microsoft Entra ID.
Poznámka:
Kyberzločinci také používají podobné strategie ve svých útocích k identifikaci běžných slabých hesel a variant. Aby se zlepšilo zabezpečení, Microsoft nepublikuje obsah globálního seznamu zakázaných hesel.
Vlastní seznam zakázaných hesel
Některé organizace chtějí zlepšit zabezpečení a přidat vlastní přizpůsobení do globálního seznamu zakázaných hesel. Pokud chcete přidat vlastní položky, můžete použít vlastní seznam zakázaných hesel. Termíny přidané do vlastního seznamu zakázaných hesel by se měly zaměřit na podmínky specifické pro organizaci, jako jsou například následující příklady:
- Značky
- Názvy produktů
- Umístění, jako je ústředí společnosti
- Interní podmínky specifické pro společnost
- Zkratky, které mají konkrétní význam společnosti
Když se termíny přidají do vlastního seznamu zakázaných hesel, zkombinují se s podmínkami v globálním seznamu zakázaných hesel. Události změny nebo resetování hesla se pak ověřují v kombinované sadě těchto zakázaných seznamů hesel.
Poznámka:
Vlastní seznam zakázaných hesel je omezen na maximálně 1 000 podmínek. Není určen pro blokování extrémně velkých seznamů hesel.
Pokud chcete plně využít výhody vlastního seznamu zakázaných hesel, nejdřív se seznam hesel vyhodnotí , než přidáte termíny do vlastního seznamu zakázaných hesel. Tento přístup umožňuje efektivně zjišťovat a blokovat velký počet slabých hesel a jejich variant.
Představme si zákazníka, který se jmenuje Contoso. Společnost je založená v Londýně a vyrábí produkt s názvem Widget. V tomto příkladu by bylo pro zákazníka plýtvání a méně bezpečné, aby se pokusil blokovat konkrétní varianty těchto termínů:
- Contoso!1
- "Contoso@London"
- ContosoWidget
- "! Contoso"
- "LondonHQ"
Místo toho je mnohem efektivnější a bezpečnější blokovat pouze klíčové základní termíny, například následující příklady:
- "Contoso"
- "Londýn"
- "Widget"
Ověřovací algoritmus hesla pak automaticky blokuje slabé varianty a kombinace.
Pokud chcete začít používat vlastní seznam zakázaných hesel, proveďte následující kurz:
Útoky password spray a seznamy hesel ohrožených třetími stranami
Microsoft Entra Password Protection pomáhá chránit před útoky password spray. Většina útoků password spray se nepokoušá o útok na žádný jednotlivý účet více než několikrát. Toto chování by zvýšilo pravděpodobnost detekce, a to buď prostřednictvím uzamčení účtu, nebo jiných prostředků.
Místo toho většina útoků password spray odesílá pouze několik známých nejslabších hesel proti každému z účtů v podniku. Tato technika umožňuje útočníkovi rychle vyhledat snadno ohrožený účet a vyhnout se potenciálním prahům detekce.
Microsoft Entra Password Protection efektivně blokuje všechna známá slabá hesla, která se pravděpodobně použijí při útocích password spray. Tato ochrana je založena na skutečných datech telemetrie zabezpečení z Microsoft Entra ID k vytvoření globálního seznamuzakázaných
Existují některé weby třetích stran, které obsahují výčet milionů hesel, která byla ohrožena v předchozích veřejně známých porušeních zabezpečení. Pro produkty ověřování hesel třetích stran je běžné, že jsou založené na porovnání hrubou silou vůči těmto milionům hesel. Tyto techniky ale nejsou nejlepším způsobem, jak zlepšit celkovou sílu hesla vzhledem k typickým strategiím používaným útočníky password spray.
Poznámka:
Globální zakázaný seznam hesel není založený na žádných zdrojích dat třetích stran, včetně ohrožených seznamů hesel.
I když je globální zakázaný seznam ve srovnání s některými hromadnými seznamy třetích stran malý, pochází z telemetrie zabezpečení z reálného světa na skutečné útoky password spray. Tento přístup zlepšuje celkové zabezpečení a efektivitu a algoritmus ověřování hesel používá také inteligentní techniky porovnávání přibližných shod. V důsledku toho Microsoft Entra Password Protection efektivně detekuje a blokuje miliony nejběžnějších slabých hesel, aby se používala ve vašem podniku.
Místní hybridní scénáře
Mnoho organizací má model hybridní identity, který zahrnuje místní Active Directory prostředí služby Domain Services (AD DS). Pokud chcete rozšířit výhody zabezpečení služby Microsoft Entra Password Protection do prostředí služby AD DS, můžete na místní servery nainstalovat komponenty. Tito agenti vyžadují události změny hesla v místním prostředí SLUŽBY AD DS, aby dodržovali stejné zásady hesel jako v Microsoft Entra ID.
Další informace naleznete v tématu Vynucení ochrany heslem Microsoft Entra pro SLUŽBU AD DS.
Jak se vyhodnocují hesla
Pokud uživatel změní nebo resetuje své heslo, na základě globálního a vlastního seznamu zakázaných hesel se zkontroluje a ověří síla a složitost nového hesla.
Heslo uživatele může být přípustné i v případě, že obsahuje zakázané heslo, pokud je jinak heslo jako celek dostatečně silné. Nově nakonfigurované heslo prochází následujícími kroky, abyste posoudili jeho celkovou sílu a zjistili, jestli se má přijmout nebo odmítnout.
Důležité
Ochrana heslem v Microsoft Entra ID neodpovídá ochraně heslem pro místní uživatele. Ověřování v ochraně heslem není konzistentní pro uživatele ve dvou službách. Při počátečním nastavení hesla nebo dokončení SSPR se ujistěte, že uživatelé ve vašem tenantovi splňují požadované parametry hesla pro příslušnou službu.
Poznámka:
Ochrana heslem v cloudu Microsoft Entra neodpovídá ochraně hesel pro místní uživatele. Ověřování v ochraně heslem není konzistentní pro uživatele ve dvou službách. Ujistěte se, že uživatelé ve vašem tenantovi splňují požadované parametry hesla pro příslušnou službu při počátečním nastavení hesla nebo dokončení SSPR.
Krok 1: Normalizace
Nové heslo nejprve prochází procesem normalizace. Tato technika umožňuje namapovat malou sadu zakázaných hesel na mnohem větší sadu potenciálně slabých hesel.
Normalizace má následující dvě části:
Všechna velká písmena se změní na malá písmena.
Pak se provádějí běžné nahrazení znaků, například v následujícím příkladu:
Původní písmeno Nahrazené písmeno 0 o 0 l $ s @ d
Představte si následující příklad:
- Heslo "prázdné" je zakázané.
- Uživatel se pokusí změnit heslo na "Bl@nK".
- I když "Bl@nk" není zakázaný, proces normalizace převede toto heslo na "prázdné".
- Toto heslo by bylo odmítnuto.
Krok 2: Kontrola, jestli je heslo považováno za zakázané
Pak se prověří heslo pro jiné odpovídající chování a vygeneruje se skóre. Toto konečné skóre určuje, jestli je žádost o změnu hesla přijata nebo odmítnuta.
Přibližné porovnávání chování
Přibližné porovnávání se používá u normalizovaného hesla k identifikaci, jestli obsahuje heslo nalezené v globálním nebo vlastním seznamu zakázaných hesel. Odpovídající proces je založen na upravit vzdálenosti jednoho (1) porovnání.
Představte si následující příklad:
Heslo "abcdef" je zakázané.
Uživatel se pokusí změnit heslo na jednu z následujících možností:
- 'abcdeg' – poslední znak se změnil z "f" na 'g'.
- "abcdefg" – "g" připojeno na konec
- 'abcde' - koncový 'f' byl odstraněn z konce
Každé z výše uvedených hesel neodpovídá zakázanému heslu "abcdef".
Vzhledem k tomu, že každý příklad je ve vzdálenosti úprav 1 zakázaného termínu "abcdef", považují se všechny za shodu s "abcdef".
Tato hesla by byla odmítnuta.
Porovnávání podřetětěžek (podle konkrétních termínů)
Porovnávání podřetědců se používá u normalizovaného hesla ke kontrole jména a příjmení uživatele a také názvu tenanta. Při ověřování hesel na řadiči domény SLUŽBY AD DS pro místní hybridní scénáře se párování názvů tenantů neprodává.
Důležité
Porovnávání podřetěžek se vynucuje pouze pro názvy a další termíny, které mají minimálně čtyři znaky.
Představte si následující příklad:
- Uživatel s názvem Poll, který chce resetovat heslo na p0LL23fb.
- Po normalizaci by se toto heslo stalo "poll23fb".
- Párování podřetětěžek najde, že heslo obsahuje jméno uživatele "Poll".
- I když "poll23fb" nebyl výslovně na seznamu zakázaných hesel, podřetězení, které v hesle našli "Poll".
- Toto heslo by bylo odmítnuto.
Výpočet skóre
Dalším krokem je identifikace všech instancí zakázaných hesel v normalizovaném novém heslu uživatele. Body se přiřazují na základě následujících kritérií:
- Každé zakázané heslo, které se nachází v hesle uživatele, má jeden bod.
- Každý zbývající znak, který není součástí zakázaného hesla, má jeden bod.
- Aby bylo možné přijmout heslo, musí být alespoň pět (5) bodů.
V následujících dvou ukázkových scénářích společnost Contoso používá microsoft Entra Password Protection a má ve svém vlastním seznamu zakázaných hesel "contoso". Předpokládejme také, že "prázdné" je na globálním seznamu.
V následujícím ukázkovém scénáři uživatel změní heslo na "C0ntos0Blank12":
Po normalizaci se toto heslo změní na contosoblank12.
Odpovídající proces zjistí, že toto heslo obsahuje dvě zakázaná hesla: "contoso" a "blank".
Toto heslo se pak udělí následujícímu skóre:
[contoso] + [blank] + [1] + [2] = 4 body
Vzhledem k tomu, že toto heslo je pod pěti (5) bodů, je odmítnuto.
Pojďme se podívat na trochu jiný příklad, abychom ukázali, jak složitější může heslo vytvořit požadovaný počet bodů, které se mají přijmout. V následujícím příkladu uživatel změní heslo na "ContoS0Bl@nkf9!":
Po normalizaci se toto heslo změní na contosoblankf9!.
Odpovídající proces zjistí, že toto heslo obsahuje dvě zakázaná hesla: "contoso" a "blank".
Toto heslo se pak udělí následujícímu skóre:
[contoso] + [blank] + [f] + [9] + [!] = 5 bodů
Vzhledem k tomu, že toto heslo je alespoň pět (5) bodů, je přijato.
Důležité
Zakázaný algoritmus hesel spolu s globálním seznamem zakázaných hesel se může v Azure kdykoli změnit na základě průběžné analýzy zabezpečení a výzkumu.
V případě místní služby agenta dc v hybridních scénářích se aktualizované algoritmy projeví až po upgradu softwaru agenta DC.
Co vidí uživatelé
Když se uživatel pokusí resetovat nebo změnit heslo na něco, co by bylo zakázáno, zobrazí se jedna z následujících chybových zpráv:
"Heslo bohužel obsahuje slovo, frázi nebo vzor, díky kterému je heslo snadno odhadnutelné. Zkuste to prosím znovu s jiným heslem."
"Toto heslo jsme viděli příliš mnohokrát předtím. Zvolte něco, co je těžší odhadnout."
"Zvolte heslo, které je pro lidi obtížnější uhodnout."
Požadavky na licenci
| Uživatelé | Microsoft Entra Password Protection s globálním zakázaným seznamem hesel | Microsoft Entra Password Protection s vlastním zakázaným seznamem hesel |
|---|---|---|
| Uživatelé jen pro cloud | Microsoft Entra ID zdarma | Microsoft Entra ID P1 nebo P2 |
| Uživatelé synchronizovaní z místní služby AD DS | Microsoft Entra ID P1 nebo P2 | Microsoft Entra ID P1 nebo P2 |
Poznámka:
Místní uživatelé služby AD DS, kteří se nesynchronují s ID Microsoft Entra, můžou využívat také ochranu hesel Microsoft Entra na základě stávajících licencí pro synchronizované uživatele.
Další informace o licencování naleznete na webu s cenami Microsoft Entra.
Další kroky
Pokud chcete začít používat vlastní seznam zakázaných hesel, proveďte následující kurz:
Můžete také povolit místní ochranu heslem Microsoft Entra.