Jelszóházirend-javaslatok a Microsoft 365-jelszavakhoz
Tekintse meg az összes kisvállalati verzióval kapcsolatos tartalmunkat a Kisvállalati segítség és képzésen.
A szervezet rendszergazdájaként Önnek kell beállítania a jelszóházirendet a szervezet felhasználói számára. A jelszóházirend beállítása bonyolult és zavaró lehet, és ez a cikk javaslatokat nyújt a szervezet biztonságosabbá tételéhez a jelszótámadások ellen.
A csak felhőalapú Microsoft-fiókok előre definiált jelszóházirenddel rendelkeznek, amely nem módosítható. Az egyetlen módosítható elem a jelszó lejáratáig érvényes napok száma, valamint az, hogy a jelszavak egyáltalán lejárnak-e.
Annak megállapításához, hogy a Microsoft 365-jelszavak milyen gyakran járnak le a szervezetben, olvassa el a Jelszólejárati szabályzat beállítása a Microsoft 365-höz című témakört.
További információ a Microsoft 365-jelszavakról:
Jelszavak alaphelyzetbe állítása (cikk)
Egyéni felhasználó jelszavának beállítása soha nem jár le (cikk)
Saját jelszavak alaphelyzetbe állításának engedélyezése a felhasználóknak (cikk)
Felhasználó jelszavának újraküldése (cikk)
Ideje újragondolni a kötelező jelszómódosításokat.
A jelszavakra vonatkozó javaslatok ismertetése
A jelszókészítési irányelvek számos szélesebb kategóriába sorolhatók:
Gyakori támadásokkal szembeni ellenállás: Ebbe a kategóriába beletartozik az is, hogy a felhasználók hol adhatják meg a jelszavukat (hatékony kártevőészlelő programmal ellátott ismert és megbízható eszközökön, érvényes webhelyeken), illetve a jelszó tulajdonságai is (hossz és egyediség).
A sikeres támadások feltartóztatása: A sikeres támadások feltartóztatása azt jelenti, hogy a támadást csak egy adott szolgáltatásra korlátozhatjuk, vagy teljes egészében megakadályozhatjuk a károkat, ha egy felhasználó jelszavát ellopják. Biztosíthatja például, hogy a közösségi hálózat hitelesítő adatait ért támadás nem teszi védtelenné a bankfiókját, vagy letilthatja, hogy egy hiányos védelemmel rendelkező fiókba egy fontosabb fiók visszaállítását célzó hivatkozások érkezzenek.
Az emberi természet ismerete: Számos irányelv elmulasztja figyelembe venni az emberi természetet, ami viszont kulcsfontosságú összetevője a jelszókészítésnek. Az emberi természet megértése kritikus fontosságú, mert a kutatások azt mutatják, hogy a felhasználókra vonatkozó szinte minden szabály a jelszóminőség gyengülését eredményezi. A hosszra, a speciális karakterekre és a jelszómódosításra vonatkozó követelmények mind a jelszavak normalizálódásához vezetnek, ami megkönnyíti a támadóknak a jelszavak kitalálását és feltörését.
Jelszavakkal kapcsolatos útmutatók rendszergazdáknak
A biztonságosabb jelszórendszerek elsődleges célja a változatos jelszavak biztosítása. A jelszóházirendeknek számos eltérő és nehezen kitalálható jelszavat kell biztosítaniuk. A következő néhány tanács alkalmazásával a lehető legnagyobb biztonságban tudhatja a szervezetét.
Nyolc karakteres minimális hosszra vonatkozó követelmény fenntartása
Ne követeljen meg kötelező karaktervariációkat. Például: *&(^%$
Ne követelje meg a rendszeres időközönként történő jelszómódosítást
Tiltsa meg a gyakori jelszavak használatát, hogy a felhasználók ne adhassanak meg sérülékeny jelszavakat
A felhasználók felkészítése arra, hogy ne használják újra a szervezeti jelszavukat a nem munkával kapcsolatos célokra
Tegye kötelezővé a többtényezős hitelesítés használatát
Kockázatalapú többtényezős hitelesítéssel járó kihívások engedélyezése
Jelszavakkal kapcsolatos útmutatók felhasználóknak
Az alábbiakban a szervezet felhasználói számára sorolunk fel néhány hasznos tanácsot. Mindenképpen juttassa el felhasználóihoz ezeket a javaslatokat, és a teljes szervezetben tegye kötelezővé az itt ajánlott jelszóházirendeket.
Ne használjon olyan jelszót, ami megegyezik egy másik webhelyen használt jelszóval, vagy hasonlít arra
Ne használjon egyetlen szót, például jelszót vagy olyan gyakran használt kifejezést, mint az Iloveyou
Nehezen kitalálhatja a jelszavakat, még azok is, akik sokat tudnak Önről, például a barátai és családja nevét és születésnapját, a kedvenc zenekarait és a használni kívánt kifejezéseket
Gyakori megoldások és hátrányaik
Ezek a leggyakrabban használt jelszókezelési eljárások, de a kutatások figyelmeztetnek minket a negatív hatásaikra.
Jelszólejárattal kapcsolatos követelmények
A jelszólejárati követelmények több kárt okoznak, mint jó, mivel a felhasználók kiszámítható jelszavakat választanak ki, amelyek egymáshoz szorosan kapcsolódó szavakból és számokból állnak. Így a következő jelszó könnyen kitalálható az előző jelszó ismeretében. A jelszólejárati követelmények nem biztosítanak elszigetelési előnyöket, mivel a számítógépes bűnözők szinte mindig hitelesítő adatokat használnak, amint feltörik őket.
Jelszó minimális hosszára vonatkozó követelmények
Annak érdekében, hogy a felhasználókat arra ösztönözzük, hogy gondoljanak egy egyedi jelszóra, javasoljuk, hogy tartsa meg a nyolc karakterből állható minimális hosszra vonatkozó követelményt.
Több karakterkészlet megkövetelése
A jelszóösszetettségi követelmények feleslegesen meghosszabbítják a jelszavakat, és arra ösztönzik a felhasználókat, hogy kiszámítható jelszavakat hozzanak létre. A legtöbb rendszer megkövetel bizonyos szintű jelszóösszetettséget. Például a jelszónak a következő három kategóriából kell karaktereket tartalmaznia:
nagybetűk
kisbetűk
nem alfanumerikus karakterek
A legtöbb ember hasonló mintákat használ. Például egy nagybetű az első pozícióban, egy szimbólum az utolsóban és egy szám az utolsó 2-ben. A kiberbűnözők tisztában vannak az ilyen mintákkal, ezért szótártámadásokat futtatnak a leggyakoribb helyettesítésekkel, "$" az "s", "@" az "a", "1" az "l" esetében. Komoly hátrányokkal járhat tehát, ha a felhasználókat rákényszeríti a nagy- és kisbetűk vagy a speciális karakterek használatára. Bizonyos összetettségi követelmények miatt a felhasználók nem tudnak biztonságos és könnyen felidézhető jelszavakat létrehozni, ezért kevésbé biztonságos és nehezen megjegyezhető kódokat találnak ki.
Sikeres mintázatok
A következőkben a jelszavak változatosságát elősegítő tanácsokat sorolunk fel.
Gyakori jelszavak letiltása
A jelszavak létrehozásakor a legfontosabb jelszókövetelmény a gyakori jelszavak használatának tiltása a szervezet találgatásos jelszótámadásokra való fogékonyságának csökkentése érdekében. Gyakori felhasználói jelszavak: abcdefg, password, monkey.
A felhasználók felkészítése arra, hogy ne használják fel máshol a szervezeti jelszavakat
A szervezet felhasználói számára az egyik legfontosabb üzenet az, hogy sehol máshol nem használják fel a szervezeti jelszavukat. A szervezeti jelszavak külső webhelyeken való használata jelentősen növeli annak a valószínűségét, hogy a számítógépes bűnözők feltörhetik ezeket a jelszavakat.
Kötelező regisztrálás többtényezős hitelesítésre
Győződjön meg arról, hogy a felhasználók frissítik a kapcsolattartási és biztonsági adataikat, vagyis megadnak egy másodlagos e-mail-címet, telefonszámot vagy egy leküldéses értesítésekre regisztrált eszközt, hogy reagálni tudjanak a biztonsági kérdésekre és értesüljenek a biztonsági eseményekről. A frissített kapcsolattartási és biztonsági adatok alapján a felhasználók igazolni tudják személyazonosságukat, ha elfelejtik a jelszavukat, vagy ha valaki el akarja lopni a fiókjukat. Sávon kívüli értesítési csatornát is biztosít a biztonsági eseményekhez, például a bejelentkezési kísérletekhez vagy a módosított jelszavakhoz.
További információt a Többtényezős hitelesítés beállítása című témakörben talál.
Kockázatalapú többtényezős hitelesítés engedélyezése
A kockázatalapú többtényezős hitelesítés biztosítja, hogy amikor a rendszer gyanús tevékenységet észlel, a felhasználót arra is kihívhatja, hogy ellenőrizze, hogy ő-e a fiók jogos tulajdonosa.
Következő lépések
Szeretne többet megtudni a jelszavak kezeléséről? Íme néhány ajánlott olvasmány:
Kapcsolódó tartalom
Jelszavak alaphelyzetbe állítása (cikk)
Egyéni felhasználó jelszavának beállítása soha nem jár le (cikk)
Saját jelszavak alaphelyzetbe állításának engedélyezése a felhasználóknak (cikk)
Felhasználó jelszavának újraküldése – Rendszergazda súgó (cikk)
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: