Share via

המלצות מדיניות סיסמה עבור סיסמאות Microsoft 365

  • מאמר

עיין בכל התוכן שלנו לעסקים קטנים בעזרה לעסקים קטנים בעזרה ולימוד לעסקים קטנים.

כמנהל המערכת של ארגון, אתה אחראי להגדרת מדיניות הסיסמאות עבור משתמשים בארגון שלך. הגדרת מדיניות הסיסמה עשויה להיות מורכבת ומבלבלת, ומאמר זה מספק המלצות כדי להפוך את הארגון שלך למאובטח יותר מפני תקיפות סיסמה.

חשבונות הענן בלבד של Microsoft כוללים מדיניות סיסמה מוגדרת מראש שלא ניתן לשנות. הפריטים היחידים שבאפשרותך לשנות הם מספר הימים עד שתוקף הסיסמה יפוג ואם תוקף הסיסמאות יפוג כלל.

כדי לקבוע באיזו תדירות פג תוקפן של סיסמאות Microsoft 365 בארגון שלך, ראה הגדרת מדיניות תפוגת סיסמאות עבור Microsoft 365.

לקבלת מידע נוסף אודות סיסמאות Microsoft 365, ראה:

איפוס סיסמאות (מאמר)

הגדרת סיסמה של משתמש בודד כך שתוקף הסיסמה לא יפוג לעולם (מאמר)

מתן אפשרות למשתמשים לאפס את הסיסמאות שלהם (מאמר)

שלח מחדש סיסמת משתמש (מאמר)

הגיע הזמן לשקול מחדש את השינויים הכרחיים בסיסמה.

הבנת המלצות סיסמה

נהלי סיסמאות טובים מתחלקים לכמה קטגוריות רחבות:

  • התנגדות להתקפות נפוצות פעולה זו כרוכה בבחירה של המקומות שבהם משתמשים מזינים סיסמאות (מכשירים ידועים ומהימנים בעלי יכולת טובה לגילוי תוכנות זדוניות, אתרים מאומתים), והבחירה של איזו סיסמה לבחור (אורך וייחודיות).

  • הכלת תקיפות מוצלחות הכלת תקיפות פורצות מוצלחות נוגעת להגבלת החשיפה לשירות ספציפי, או מניעת נזק זה לחלוטין, אם סיסמת משתמש נגנבה. לדוגמה, כדי להבטיח שהפרה של אישורי הרשת החברתית שלך לא תהפוך את חשבון הבנק שלך לפגיע, או שלא תאפשר לחשבון בעל הגנה גרועה לקבל קישורי אתחול עבור חשבון חשוב.

  • הבנת טבע האדם נהלי סיסמאות תקפים רבים נכשלים אל מול התנהגויות טבעיות של בני אדם. הבנת הטבע האנושי היא קריטית מכיוון שמחקרים המראה כמעט שכל כלל שאתה מטיל על המשתמשים שלך גורם להחלשת איכות הסיסמה. התוצאה של דרישות אורך, דרישות שימוש בתווים מיוחדים ודרישות שינוי סיסמה היא נורמליזציה של סיסמאות, שבגללה לתוקפים קל יותר לנחש או לפצח סיסמאות.

קווים מנחים לסיסמאות עבור מנהלי מערכת

המטרה העיקרית של מערכת סיסמאות מאובטחת יותר היא גיוון בסיסמאות. יש לך עניין בכך שמדיניות הסיסמה שלך תכיל הרבה סיסמאות שקשה לנחש. להלן מספר המלצות לשמירה הארגון של מאובטח ככל שניתן.

  • שמירה על דרישת אורך מינימלי של שמונה תווים

  • אל תדרוש דרישות של קומפוזיציית תווים. לדוגמה, *&(^%$

  • אל תדרוש מהמשתמשים שלך איפוסי סיסמה תקופתיים הכרחיים

  • אסור שימוש בסיסמאות נפוצות, כדי להרחיק את הסיסמה החשופה ביותר לסיכונים מהמערכת שלך

  • הדרך את המשתמשים שלך לא לעשות שימוש חוזר בסיסמאות הארגון שלהם למטרות שאינן קשורות לעבודה

  • אכוף רישום עבור אימות רב-גורמי

  • אפשר אתגרים של אימות רב-גורמי המבוססים על סיכונים

הנחיית סיסמה עבור המשתמשים שלך

הנה כמה הנחיות סיסמה עבור משתמשים בארגון שלך. הקפד ליידע את המשתמשים על המלצות אלה ולאכוף את מדיניות הסיסמה המומלצת ברמה הארגונית.

  • אל תשתמש בסיסמה זהה או דומה לזו שאתה משתמש בה באתרי אינטרנט אחרים

  • אל תשתמש במילה אחת, לדוגמה, סיסמה או צירוף מילים נפוץ, כגון Iloveyou

  • הפוך את הסיסמאות שקשה לנחש בהן, גם על-ידי אנשים ה יודעים הרבה עליך, כגון שמות וימי הולדת של חברים ובני משפחה, הה רצועות האהובות עליך וצירופי מילים שבהם אתה אוהב להשתמש

כמה גישות נפוצות והשפעות שליליות שלהן

אלה הן כמה משיטות ניהול הסיסמאות הנפוצות ביותר, אך המחקר מזהיר אותנו לגבי ההשפעות השליליות שלהם.

דרישות תפוגת סיסמה עבור משתמשים

דרישות תפוגת סיסמה מזיקות יותר מרע, כאשר הן מאפשרות למשתמשים לבחור סיסמאות צפויות, המורכבות ממילים רציפות וממספרים הקשורים זה לזה באופן דומה. במקרים אלה, ניתן לחזות את הסיסמה הבאה בהתבסס על הסיסמה הקודמת. דרישות תפוגת סיסמה לא מציעות יתרונות של כלולה משום שפשעי סייבר כמעט תמיד משתמשים באישורים ברגע שהם פוגעים בהם.

דרישות אורך סיסמה מינימליות

כדי לעודד משתמשים לחשוב על סיסמה ייחודית, מומלץ לשמור על דרישת אורך מינימלי סבירה של שמונה תווים.

דרישת שימוש בערכות תווים מרובות

דרישות מורכבות של סיסמה מצמצמות את מקש הרווח וגורמות למשתמשים לפעול בדרכים צפויות, ולכן עושות יותר נזק מתועלת. רוב המערכות אוכפות רמה מסוימת של גרישות מורכבות של סיסמה. לדוגמה, סיסמאות צריכות להכיל תווים מכל שלוש הקטגוריות הבאות:

  • אותיות רישיות

  • אותיות קטנות

  • תווים שאינם אלפאנומריים

רוב האנשים משתמשים בדפוסים דומים. לדוגמה, אות רישית במיקום הראשון, סימן באחרונה ומספר ב- 2 האחרונים. פושעי סייבר מודעים לדפוסים כאלה, ולכן הם מפעילים את מתקפות המילון שלהם באמצעות התכתבויות הנפוצות ביותר, "$" עבור "s", "@" עבור "a", "1" עבור "l". לאילוץ המשתמשים שלך לבחור שילוב של אותיות רישיות, אותיות קטנות, ספרות ותווים מיוחדים, יש השפעה שלילית. מספר דרישות מורכבות אפילו מונעות ממשתמשים להשתמש בסיסמאות בטוחות וזכירות, ומאלצות אותם להמציא סיסמאות בטוחות וזכירות פחות.

דפוסים מוצלחים

מנגד, להלן כמה המלצות לעידוד גיוון בסיסמאות.

אסור שימוש בסיסמאות נפוצות

דרישת הסיסמה החשובה ביותר מהמשתמשים שלך בעת יצירת סיסמאות היא לאסור שימוש בסיסמאות נפוצות כדי להפחית את מידת החשיפה של הארגון שלך למתקפות סיסמה מסוג Brute Force. סיסמאות משתמש נפוצות כוללות: abcdefg, password, monkey.

מורים למשתמשים לא לעשות שימוש חוזר בסיסמאות ארגוניות במקום אחר

אחת ההודעות החשובות ביותר המקיימות גישה למשתמשים בארגון שלך היא לא לעשות שימוש חוזר בסיסמאות הארגון שלהם במקום אחר. השימוש בסיסמאות ארגוניות באתרי אינטרנט חיצוניים מגדיל ביעילות את הסיכוי שפשעי סייבר יוכלו לסכן סיסמאות אלה.

אכוף רישום אימות רב-גורמי

ודא שהמשתמשים שלך מעדכנים פרטים של אנשי קשר ואבטחה, כגון כתובת דואר אלקטרוני חלופית, מספר טלפון או מכשיר שרשום להודעות דחיפה, כך שהם יוכלו להגיב לאתגרים אבטחה ולקבל הודעה על אירועי אבטחה. עדכון פרטים של אנשי קשר ואבטחה עוזר למשתמשים לאמת את הזהות שלהם אם הם אי-פעם ישכחו את הסיסמה, או אם מישהו אחר ינסה להשתלט על החשבון שלהם. בנוסף, הוא מספק ערוץ הודעות מחוץ ללהקה עבור אירועי אבטחה כגון ניסיונות כניסה או סיסמאות ששונו.

לקבלת מידע נוסף, ראה הגדר אימות רב-גורמי.

הפוך אימות רב-גורמי המבוסס על סיכונים לזמין

אימות רב-גורמי המבוסס על סיכונים מבטיח כי כאשר המערכת שלנו מזהה פעילות חשודה, הוא יכול לאתגר את המשתמש כדי להבטיח שהוא הבעלים החוקי של החשבון.

השלבים הבאים

מעוניין לקבל מידע נוסף על ניהול סיסמאות? הנה כמה פריטים מומלצים לקריאה:

תוכן קשור

איפוס סיסמאות (מאמר)
הגדרת סיסמה של משתמש בודד כך שתוקף הסיסמה לא יפוג לעולם (מאמר)
מתן אפשרות למשתמשים לאפס את הסיסמאות שלהם (מאמר)
שלח מחדש סיסמת משתמש - מרכז הניהול עזרה (מאמר)