Bagikan melalui


Menghilangkan kata sandi yang buruk menggunakan Perlindungan Kata Sandi Microsoft Entra

Banyak panduan keamanan merekomendasikan agar Anda tidak menggunakan kata sandi yang sama di beberapa tempat, untuk membuatnya rumit, dan untuk menghindari kata sandi sederhana seperti Password123. Anda dapat memberi pengguna Anda panduan tentang cara memilih kata sandi, tetapi kata sandi yang lemah atau tidak aman sering digunakan. Perlindungan Kata Sandi Microsoft Entra mendeteksi dan memblokir kata sandi lemah yang diketahui dan variannya, dan juga dapat memblokir istilah lemah lainnya yang khusus untuk organisasi Anda.

Dengan Perlindungan Kata Sandi Microsoft Entra, daftar kata sandi terlarang global default secara otomatis diterapkan ke semua pengguna di penyewa Microsoft Entra. Untuk mendukung kebutuhan bisnis dan keamanan Anda sendiri, Anda dapat menentukan entri dalam daftar kata sandi terlarang kustom. Saat pengguna mengubah atau mereset kata sandi mereka, daftar kata sandi yang dilarang ini diperiksa untuk memberlakukan penggunaan kata sandi yang kuat.

Anda harus menggunakan fitur lain seperti autentikasi multifaktor Microsoft Entra, tidak hanya mengandalkan kata sandi kuat yang diberlakukan oleh Perlindungan Kata Sandi Microsoft Entra. Untuk mengetahui informasi selengkapnya tentang menggunakan beberapa lapisan keamanan untuk peristiwa masuk Anda, lihat Pa$$word Anda tidak masalah.

Penting

Artikel konseptual ini menjelaskan kepada administrator cara kerja Perlindungan Kata Sandi Microsoft Entra. Jika Anda adalah pengguna akhir yang sudah terdaftar untuk reset kata sandi mandiri dan perlu kembali ke akun Anda, buka https://aka.ms/sspr.

Jika tim TI Anda belum mengaktifkan kemampuan untuk mengatur ulang kata sandi Anda sendiri, hubungi staf dukungan Anda.

Daftar kata sandi terlarang global

Tim Perlindungan ID Microsoft Entra terus menganalisis data telemetri keamanan Microsoft Entra yang mencari kata sandi yang umum digunakan lemah atau disusupi. Secara khusus, analisis mencari istilah dasar yang sering digunakan sebagai dasar untuk kata sandi yang lemah. Saat istilah yang lemah ditemukan, istilah tersebut ditambahkan ke daftar kata sandi terlarang global. Konten daftar kata sandi terlarang global tidak didasarkan pada sumber data eksternal apa pun, tetapi pada hasil telemetri dan analisis keamanan Microsoft Entra.

Saat kata sandi diubah atau diatur ulang untuk setiap pengguna di penyewa Microsoft Entra, versi daftar kata sandi terlarang global saat ini digunakan untuk memvalidasi kekuatan kata sandi. Pemeriksaan validasi ini menghasilkan kata sandi yang lebih kuat untuk semua pelanggan Microsoft Entra.

Daftar kata sandi terlarang global secara otomatis diterapkan ke semua pengguna di penyewa Microsoft Entra. Tidak ada yang dapat diaktifkan atau dikonfigurasi, dan tidak dapat dinonaktifkan. Daftar kata sandi terlarang global ini diterapkan kepada pengguna saat mereka mengubah atau mengatur ulang kata sandi mereka sendiri melalui ID Microsoft Entra.

Catatan

Penjahat cyber juga menggunakan strategi serupa dalam serangan mereka untuk mengidentifikasi kata sandi dan variasi umum yang lemah. Untuk meningkatkan keamanan, Microsoft tidak menerbitkan konten daftar kata sandi terlarang global.

Daftar kata sandi terlarang kustom

Beberapa organisasi ingin meningkatkan keamanan dan menambahkan penyesuaian mereka sendiri di atas daftar kata sandi terlarang global. Untuk menambahkan entri Anda sendiri, Anda dapat menggunakan daftar kata sandi terlarang kustom. Istilah yang ditambahkan ke daftar kata sandi terlarang kustom harus difokuskan pada istilah khusus organisasi seperti contoh berikut:

  • Nama merek
  • Nama produk
  • Lokasi, seperti kantor pusat perusahaan
  • Istilah internal khusus perusahaan
  • Singkatan yang memiliki arti perusahaan tertentu

Saat istilah ditambahkan ke daftar kata sandi terlarang kustom, istilah digabungkan dengan istilah dalam daftar kata sandi terlarang global. Kemudian, perubahan kata sandi atau peristiwa reset divalidasi terhadap kumpulan gabungan daftar kata sandi terlarang ini.

Catatan

Daftar kata sandi terlarang kustom dibatasi hingga maksimum 1000 istilah. Daftar ini tidak dirancang untuk memblokir daftar kata sandi besar.

Untuk sepenuhnya memanfaatkan keuntungan daftar kata sandi terlarang kustom, pertama-tama pahami cara kata sandi dievaluasi sebelum Anda menambahkan istilah ke daftar terlarang kustom. Pendekatan ini memungkinkan Anda mendeteksi dan memblokir sejumlah besar kata sandi lemah dan variannya secara efisien.

Mengubah daftar kata sandi terlarang kustom dengan Metode Autentikasi

Mari kita pertimbangkan pelanggan bernama Contoso. Perusahaan ini berbasis di London dan membuat produk bernama Widget. Untuk contoh pelanggan ini, akan sia-sia dan kurang aman untuk mencoba memblokir variasi tertentu dari istilah-istilah ini:

  • "Contoso!1"
  • "Contoso@London"
  • "ContosoWidget"
  • "!Contoso"
  • "LondonHQ"

Sebaliknya, jauh lebih efisien dan aman untuk memblokir hanya istilah dasar utama, seperti contoh berikut:

  • "Contoso"
  • "London"
  • "Widget"

Kemudian, algoritme validasi kata sandi otomatis memblokir varian dan kombinasi yang lemah.

Untuk mulai menggunakan daftar kata sandi terlarang kustom, selesaikan tutorial berikut:

Serangan semprotan kata sandi dan daftar kata sandi yang disusupi pihak ketiga

Perlindungan Kata Sandi Microsoft Entra membantu Anda bertahan dari serangan semprotan kata sandi. Sebagian besar serangan semprotan kata sandi tidak mencoba menyerang akun individu tertentu lebih dari beberapa kali. Perilaku ini akan meningkatkan kemungkinan deteksi, baik melalui penguncian akun atau cara lain.

Sebaliknya, sebagian besar serangan semprotan kata sandi hanya mengirimkan beberapa kata sandi terlemah yang diketahui terhadap setiap akun di perusahaan. Teknik ini memungkinkan penyerang untuk dengan cepat mencari akun yang mudah disusupi dan menghindari potensi ambang batas deteksi.

Perlindungan Kata Sandi Microsoft Entra secara efisien memblokir semua kata sandi lemah yang diketahui kemungkinan akan digunakan dalam serangan semprotan kata sandi. Perlindungan ini didasarkan pada data telemetri keamanan dunia nyata dari ID Microsoft Entra untuk membangun daftar kata sandi terlarang global.

Ada beberapa situs web pihak ketiga yang menghitung jutaan kata sandi yang telah disusupi dalam pelanggaran keamanan yang diketahui publik sebelumnya. Biasanya produk validasi kata sandi pihak ketiga didasarkan pada perbandingan brute-force terhadap jutaan kata sandi tersebut. Namun, teknik tersebut bukan cara terbaik untuk meningkatkan kekuatan kata sandi secara keseluruhan mengingat strategi umum yang digunakan oleh penyerang semprotan kata sandi.

Catatan

Daftar kata sandi terlarang global tidak didasarkan pada sumber data pihak ketiga apa pun, termasuk daftar kata sandi yang disusupi.

Meskipun daftar terlarang global berukuran kecil dibandingkan dengan beberapa daftar massal pihak ketiga, daftar ini bersumber dari telemetri keamanan dunia nyata pada serangan semprotan kata sandi yang sebenarnya. Pendekatan ini meningkatkan keamanan dan efektivitas keseluruhan, dan algoritme validasi kata sandi juga menggunakan teknik pencocokan fuzzy pintar. Akibatnya, Perlindungan Kata Sandi Microsoft Entra secara efisien mendeteksi dan memblokir jutaan kata sandi lemah yang paling umum agar tidak digunakan di perusahaan Anda.

Skenario hibrid lokal

Banyak organisasi memiliki model identitas hibrid yang mencakup lingkungan Active Directory Domain Services (AD DS) lokal. Untuk memperluas manfaat keamanan Perlindungan Kata Sandi Microsoft Entra ke lingkungan AD DS, Anda dapat menginstal komponen di server lokal Anda. Agen ini memerlukan peristiwa perubahan kata sandi di lingkungan AD DS lokal untuk mematuhi kebijakan kata sandi yang sama seperti di ID Microsoft Entra.

Untuk informasi selengkapnya, lihat Menerapkan Perlindungan Kata Sandi Microsoft Entra untuk AD DS.

Cara sandi dievaluasi

Saat pengguna mengubah atau mereset kata sandi mereka, kata sandi baru diperiksa untuk kekuatan dan kerumitan dengan memvalidasinya terhadap daftar gabungan istilah dari daftar kata sandi terlarang kustom dan global.

Meskipun kata sandi pengguna berisi kata sandi yang dilarang, kata sandi dapat diterima jika kata sandi keseluruhannya cukup kuat. Kata sandi yang baru dikonfigurasi melalui langkah-langkah berikut untuk menilai kekuatan keseluruhannya untuk menentukan apakah kata sandi harus diterima atau ditolak.

Catatan

Perlindungan kata sandi di ID Microsoft Entra tidak berkorelasi dengan perlindungan kata sandi untuk pengguna lokal. Validasi dalam perlindungan kata sandi tidak konsisten untuk pengguna di dua layanan. Pastikan pengguna di penyewa Anda memenuhi parameter kata sandi yang diperlukan untuk layanan masing-masing saat awalnya mengatur kata sandi mereka atau menyelesaikan SSPR.

Langkah 1: Normalisasi

Kata sandi baru terlebih dahulu melalui proses normalisasi. Teknik ini memungkinkan serangkaian kecil kata sandi terlarang dipetakan ke serangkaian kata sandi yang berpotensi lemah yang jauh lebih besar.

Normalisasi memiliki dua bagian berikut:

  • Semua huruf besar diubah menjadi huruf kecil.

  • Kemudian, penggantian karakter umum dilakukan, seperti dalam contoh berikut:

    Huruf asli Huruf yang diganti
    0 o
    1 l
    $ s
    @ a

Pertimbangkan contoh berikut:

  • Kata sandi "blank" dilarang.
  • Pengguna mencoba mengubah kata sandi mereka menjadi "Bl@nK".
  • Meskipun "Bl@nk" tidak dilarang, normalisasi proses mengonversi ini menjadi "blank".
  • Sandi ini akan ditolak.

Langkah 2: Memeriksa apakah kata sandi dianggap dilarang

Kemudian, kata sandi diperiksa untuk perilaku pencocokan lainnya, dan skor dihasilkan. Skor akhir ini menentukan apakah permintaan perubahan kata sandi diterima atau ditolak.

Perilaku pencocokan fuzzy

Pencocokan fuzzy digunakan pada kata sandi yang dinormalisasi untuk mengidentifikasi apakah kata sandi tersebut ditemukan di daftar kata sandi terlarang kustom atau global. Proses pencocokan didasarkan pada jarak edit dari satu (1) perbandingan.

Pertimbangkan contoh berikut:

  • Kata sandi "abcdef" dilarang.

  • Pengguna mencoba mengubah kata sandi mereka menjadi salah satu dari berikut ini:

    • 'abcdeg' - karakter terakhir berubah dari 'f' menjadi 'g'
    • 'abcdefg' - 'g' ditambahkan ke akhir
    • 'abcde' - 'f' yang mengikuti dihapus dari akhir
  • Masing-masing kata sandi di atas tidak secara khusus cocok dengan kata sandi yang dilarang "abcdef".

    Namun, karena setiap contoh berada dalam jarak edit 1 dari istilah yang dilarang 'abcdef', semua kata sandi dianggap sebagai cocok dengan "abcdef".

  • Kata sandi ini akan ditolak.

Pencocokan substring (pada istilah tertentu)

Pencocokan substring digunakan pada kata sandi yang dinormalisasi untuk memeriksa nama depan dan belakang pengguna serta nama penyewa. Pencocokan nama penyewa tidak dilakukan saat memvalidasi kata sandi pada pengontrol domain AD DS untuk skenario hibrid lokal.

Penting

Pencocokan substring hanya diterapkan untuk nama, dan istilah lain, yang panjangnya minimal empat karakter.

Pertimbangkan contoh berikut:

  • Pengguna bernama Poll yang ingin mereset kata sandi mereka menjadi "p0LL23fb".
  • Setelah normalisasi, kata sandi ini akan menjadi "poll23fb".
  • Pencocokan substring menemukan bahwa kata sandi berisi nama depan pengguna "Poll".
  • Meskipun "poll23fb" tidak secara khusus ada pada daftar kata sandi terlarang, pencocokan substring menemukan "Poll" dalam kata sandi.
  • Sandi ini akan ditolak.

Perhitungan Skor

Langkah selanjutnya adalah mengidentifikasi semua instans kata sandi terlarang dalam kata sandi baru yang dinormalisasi milik pengguna. Poin ditetapkan berdasarkan kriteria berikut:

  1. Setiap kata sandi terlarang yang ditemukan dalam kata sandi pengguna diberikan satu poin.
  2. Setiap karakter yang tersisa yang bukan bagian dari kata sandi terlarang diberikan satu poin.
  3. Kata sandi harus memiliki minimal lima (5) poin yang akan diterima.

Untuk dua contoh skenario berikutnya, Contoso menggunakan Perlindungan Kata Sandi Microsoft Entra dan memiliki "contoso" pada daftar kata sandi terlarang kustom mereka. Mari kita asumsikan juga bahwa "blank" ada dalam daftar global.

Dalam contoh skenario berikut, pengguna mengubah kata sandi mereka menjadi "C0ntos0Blank12":

  • Setelah normalisasi, kata sandi ini menjadi "contosoblank12".

  • Proses pencocokan menemukan bahwa kata sandi ini berisi dua kata sandi terlarang: "contoso" dan "blank".

  • Kata sandi ini kemudian diberikan skor berikut:

    [contoso] + [blank] + [1] + [2] = 4 poin

  • Karena kata sandi ini memiliki poin di bawah lima (5), kata sandi ditolak.

Mari kita lihat contoh yang sedikit berbeda untuk menunjukkan seberapa kompleksitas lebih dalam kata sandi dapat membangun jumlah poin yang diperlukan untuk diterima. Di skenario contoh berikut, pengguna mengubah kata sandinya menjadi "ContoS0Bl@nkf9!":

  • Setelah normalisasi, kata sandi ini menjadi "contosoblankf9!".

  • Proses pencocokan menemukan bahwa kata sandi ini berisi dua kata sandi terlarang: "contoso" dan "blank".

  • Kata sandi ini kemudian diberikan skor berikut:

    [contoso] + [blank] + [f] = [9] + [!] = 5 poin

  • Karena kata sandi ini setidaknya memiliki lima (5) poin, kata sandi diterima.

Penting

Algoritme kata sandi terlarang, bersama dengan daftar kata sandi terlarang global, dapat melakukan perubahan kapan saja di Azure berdasarkan analisis dan penelitian keamanan yang sedang berlangsung.

Untuk layanan agen DC lokal dalam skenario hibrid, algoritme yang diperbarui hanya berlaku setelah perangkat lunak agen DC ditingkatkan.

Apa yang dilihat pengguna

Ketika pengguna mencoba mengatur ulang atau mengubah kata sandi menjadi hal yang dilarang, salah satu pesan kesalahan berikut akan ditampilkan:

"Sayangnya, kata sandi Anda mengandung kata, frasa, atau pola yang membuat kata sandi mudah ditebak. Silakan coba lagi dengan kata sandi yang berbeda."

"Kata sandi itu sudah terlalu sering terlihat sebelumnya. Pilih sesuatu yang lebih sulit untuk ditebak."

"Pilih kata sandi yang lebih sulit untuk ditebak."

Persyaratan lisensi

Pengguna Perlindungan Kata Sandi Microsoft Entra dengan daftar kata sandi terlarang global Perlindungan Kata Sandi Microsoft Entra dengan daftar kata sandi terlarang kustom
Pengguna khusus cloud Microsoft Entra ID Gratis Microsoft Entra ID P1 atau P2
Pengguna yang disinkronkan dari AD DS lokal Microsoft Entra ID P1 atau P2 Microsoft Entra ID P1 atau P2

Catatan

Pengguna AD DS lokal yang tidak disinkronkan ke ID Microsoft Entra juga mendapat manfaat dari Perlindungan Kata Sandi Microsoft Entra berdasarkan lisensi yang ada untuk pengguna yang disinkronkan.

Untuk informasi selengkapnya tentang lisensi, lihat situs harga Microsoft Entra.

Langkah berikutnya

Untuk mulai menggunakan daftar kata sandi terlarang kustom, selesaikan tutorial berikut:

Anda juga kemudian dapat mengaktifkan Perlindungan Kata Sandi Microsoft Entra lokal.