Jelszóházirend-javaslatok a Microsoft 365-jelszavakhoz

  • Cikk

Tekintse meg az összes kisvállalati verzióval kapcsolatos tartalmunkat a Kisvállalati segítség és képzésen.

A szervezet rendszergazdájaként Önnek kell beállítania a jelszóházirendet a szervezet felhasználói számára. A jelszóházirend beállítása bonyolult és zavaró lehet, és ez a cikk javaslatokat nyújt a szervezet biztonságosabbá tételéhez a jelszótámadások ellen.

A csak felhőalapú Microsoft-fiókok előre definiált jelszóházirenddel rendelkeznek, amely nem módosítható. Az egyetlen módosítható elem a jelszó lejáratáig érvényes napok száma, valamint az, hogy a jelszavak egyáltalán lejárnak-e.

Annak megállapításához, hogy a Microsoft 365-jelszavak milyen gyakran járnak le a szervezetben, olvassa el a Jelszólejárati szabályzat beállítása a Microsoft 365-höz című témakört.

További információ a Microsoft 365-jelszavakról:

Jelszavak alaphelyzetbe állítása (cikk)

Egyéni felhasználó jelszavának beállítása soha nem jár le (cikk)

Saját jelszavak alaphelyzetbe állításának engedélyezése a felhasználóknak (cikk)

Felhasználó jelszavának újraküldése (cikk)

Ideje újragondolni a kötelező jelszómódosításokat.

A jelszavakra vonatkozó javaslatok ismertetése

A jelszókészítési irányelvek számos szélesebb kategóriába sorolhatók:

  • Gyakori támadásokkal szembeni ellenállás: Ebbe a kategóriába beletartozik az is, hogy a felhasználók hol adhatják meg a jelszavukat (hatékony kártevőészlelő programmal ellátott ismert és megbízható eszközökön, érvényes webhelyeken), illetve a jelszó tulajdonságai is (hossz és egyediség).

  • A sikeres támadások feltartóztatása: A sikeres támadások feltartóztatása azt jelenti, hogy a támadást csak egy adott szolgáltatásra korlátozhatjuk, vagy teljes egészében megakadályozhatjuk a károkat, ha egy felhasználó jelszavát ellopják. Biztosíthatja például, hogy a közösségi hálózat hitelesítő adatait ért támadás nem teszi védtelenné a bankfiókját, vagy letilthatja, hogy egy hiányos védelemmel rendelkező fiókba egy fontosabb fiók visszaállítását célzó hivatkozások érkezzenek.

  • Az emberi természet ismerete: Számos irányelv elmulasztja figyelembe venni az emberi természetet, ami viszont kulcsfontosságú összetevője a jelszókészítésnek. Az emberi természet megértése kritikus fontosságú, mert a kutatások azt mutatják, hogy a felhasználókra vonatkozó szinte minden szabály a jelszóminőség gyengülését eredményezi. A hosszra, a speciális karakterekre és a jelszómódosításra vonatkozó követelmények mind a jelszavak normalizálódásához vezetnek, ami megkönnyíti a támadóknak a jelszavak kitalálását és feltörését.

Jelszavakkal kapcsolatos útmutatók rendszergazdáknak

A biztonságosabb jelszórendszerek elsődleges célja a változatos jelszavak biztosítása. A jelszóházirendeknek számos eltérő és nehezen kitalálható jelszavat kell biztosítaniuk. A következő néhány tanács alkalmazásával a lehető legnagyobb biztonságban tudhatja a szervezetét.

  • Nyolc karakteres minimális hosszra vonatkozó követelmény fenntartása

  • Ne követeljen meg kötelező karaktervariációkat. Például: *&(^%$

  • Ne követelje meg a rendszeres időközönként történő jelszómódosítást

  • Tiltsa meg a gyakori jelszavak használatát, hogy a felhasználók ne adhassanak meg sérülékeny jelszavakat

  • A felhasználók felkészítése arra, hogy ne használják újra a szervezeti jelszavukat a nem munkával kapcsolatos célokra

  • Tegye kötelezővé a többtényezős hitelesítés használatát

  • Kockázatalapú többtényezős hitelesítéssel járó kihívások engedélyezése

Jelszavakkal kapcsolatos útmutatók felhasználóknak

Az alábbiakban a szervezet felhasználói számára sorolunk fel néhány hasznos tanácsot. Mindenképpen juttassa el felhasználóihoz ezeket a javaslatokat, és a teljes szervezetben tegye kötelezővé az itt ajánlott jelszóházirendeket.

  • Ne használjon olyan jelszót, ami megegyezik egy másik webhelyen használt jelszóval, vagy hasonlít arra

  • Ne használjon egyetlen szót, például jelszót vagy olyan gyakran használt kifejezést, mint az Iloveyou

  • Nehezen kitalálhatja a jelszavakat, még azok is, akik sokat tudnak Önről, például a barátai és családja nevét és születésnapját, a kedvenc zenekarait és a használni kívánt kifejezéseket

Gyakori megoldások és hátrányaik

Ezek a leggyakrabban használt jelszókezelési eljárások, de a kutatások figyelmeztetnek minket a negatív hatásaikra.

Jelszólejárattal kapcsolatos követelmények

A jelszólejárati követelmények több kárt okoznak, mint jó, mivel a felhasználók kiszámítható jelszavakat választanak ki, amelyek egymáshoz szorosan kapcsolódó szavakból és számokból állnak. Így a következő jelszó könnyen kitalálható az előző jelszó ismeretében. A jelszólejárati követelmények nem biztosítanak elszigetelési előnyöket, mivel a számítógépes bűnözők szinte mindig hitelesítő adatokat használnak, amint feltörik őket.

Jelszó minimális hosszára vonatkozó követelmények

Annak érdekében, hogy a felhasználókat arra ösztönözzük, hogy gondoljanak egy egyedi jelszóra, javasoljuk, hogy tartsa meg a nyolc karakterből állható minimális hosszra vonatkozó követelményt.

Több karakterkészlet megkövetelése

A jelszóösszetettségi követelmények feleslegesen meghosszabbítják a jelszavakat, és arra ösztönzik a felhasználókat, hogy kiszámítható jelszavakat hozzanak létre. A legtöbb rendszer megkövetel bizonyos szintű jelszóösszetettséget. Például a jelszónak a következő három kategóriából kell karaktereket tartalmaznia:

  • nagybetűk

  • kisbetűk

  • nem alfanumerikus karakterek

A legtöbb ember hasonló mintákat használ. Például egy nagybetű az első pozícióban, egy szimbólum az utolsóban és egy szám az utolsó 2-ben. A kiberbűnözők tisztában vannak az ilyen mintákkal, ezért szótártámadásokat futtatnak a leggyakoribb helyettesítésekkel, "$" az "s", "@" az "a", "1" az "l" esetében. Komoly hátrányokkal járhat tehát, ha a felhasználókat rákényszeríti a nagy- és kisbetűk vagy a speciális karakterek használatára. Bizonyos összetettségi követelmények miatt a felhasználók nem tudnak biztonságos és könnyen felidézhető jelszavakat létrehozni, ezért kevésbé biztonságos és nehezen megjegyezhető kódokat találnak ki.

Sikeres mintázatok

A következőkben a jelszavak változatosságát elősegítő tanácsokat sorolunk fel.

Gyakori jelszavak letiltása

A jelszavak létrehozásakor a legfontosabb jelszókövetelmény a gyakori jelszavak használatának tiltása a szervezet találgatásos jelszótámadásokra való fogékonyságának csökkentése érdekében. Gyakori felhasználói jelszavak: abcdefg, password, monkey.

A felhasználók felkészítése arra, hogy ne használják fel máshol a szervezeti jelszavakat

A szervezet felhasználói számára az egyik legfontosabb üzenet az, hogy sehol máshol nem használják fel a szervezeti jelszavukat. A szervezeti jelszavak külső webhelyeken való használata jelentősen növeli annak a valószínűségét, hogy a számítógépes bűnözők feltörhetik ezeket a jelszavakat.

Kötelező regisztrálás többtényezős hitelesítésre

Győződjön meg arról, hogy a felhasználók frissítik a kapcsolattartási és biztonsági adataikat, vagyis megadnak egy másodlagos e-mail-címet, telefonszámot vagy egy leküldéses értesítésekre regisztrált eszközt, hogy reagálni tudjanak a biztonsági kérdésekre és értesüljenek a biztonsági eseményekről. A frissített kapcsolattartási és biztonsági adatok alapján a felhasználók igazolni tudják személyazonosságukat, ha elfelejtik a jelszavukat, vagy ha valaki el akarja lopni a fiókjukat. Sávon kívüli értesítési csatornát is biztosít a biztonsági eseményekhez, például a bejelentkezési kísérletekhez vagy a módosított jelszavakhoz.

További információt a Többtényezős hitelesítés beállítása című témakörben talál.

Kockázatalapú többtényezős hitelesítés engedélyezése

A kockázatalapú többtényezős hitelesítés biztosítja, hogy amikor a rendszer gyanús tevékenységet észlel, a felhasználót arra is kihívhatja, hogy ellenőrizze, hogy ő-e a fiók jogos tulajdonosa.

Következő lépések

Szeretne többet megtudni a jelszavak kezeléséről? Íme néhány ajánlott olvasmány:

Kapcsolódó tartalom

Jelszavak alaphelyzetbe állítása (cikk)
Egyéni felhasználó jelszavának beállítása soha nem jár le (cikk)
Saját jelszavak alaphelyzetbe állításának engedélyezése a felhasználóknak (cikk)
Felhasználó jelszavának újraküldése – Rendszergazda súgó (cikk)