Eliminare le password dannose usando la protezione password di Microsoft Entra
Molte indicazioni sulla sicurezza consigliano di non usare la stessa password in più posizioni, per renderla complessa e per evitare password semplici come Password123. È possibile fornire agli utenti indicazioni su come scegliere le password, ma spesso vengono usate password deboli o non sicure. Microsoft Entra Password Protection rileva e blocca le password vulnerabili note e le relative varianti e può anche bloccare altri termini deboli specifici dell'organizzazione.
Con Microsoft Entra Password Protection, gli elenchi predefiniti di password escluse globali vengono applicati automaticamente a tutti gli utenti in un tenant di Microsoft Entra. Per supportare specifiche esigenze aziendali e di sicurezza, è comunque possibile definire anche altre voci in un elenco personalizzato di password vietate. Quando gli utenti modificano o reimpostano le password, questi elenchi di password escluse vengono controllati per applicare l'uso di password complesse.
È consigliabile usare altre funzionalità come l'autenticazione a più fattori di Microsoft Entra, non solo affidarsi a password complesse applicate da Microsoft Entra Password Protection. Per altre informazioni sull'uso di più livelli di sicurezza per gli eventi di accesso, vedere Pa$$word non importa.
Importante
Questo articolo concettuale spiega a un amministratore il funzionamento della protezione password di Microsoft Entra. Se si è un utente finale già registrato per la reimpostazione della password self-service e si deve ripristinare l'accesso al proprio account, passare a https://aka.ms/sspr.
Se il team IT non ha abilitato la possibilità di reimpostare la propria password, contattare il supporto tecnico.
Elenco globale di password vietate
Il team microsoft Entra ID Protection analizza costantemente i dati di telemetria di microsoft Entra security cercando password vulnerabili o compromesse comunemente usate. In particolare, l'analisi cerca i termini di base spesso usati come base per le password deboli. Quando vengono trovati termini deboli, vengono aggiunti all'elenco globale delle password escluse. Il contenuto dell'elenco globale delle password escluse non si basa su alcuna origine dati esterna, ma sui risultati della telemetria e dell'analisi della sicurezza di Microsoft Entra.
Quando una password viene modificata o reimpostata per qualsiasi utente in un tenant di Microsoft Entra, la versione corrente dell'elenco globale delle password escluse viene usata per convalidare la complessità della password. Questo controllo di convalida consente di ottenere password più avanzate per tutti i clienti di Microsoft Entra.
L'elenco globale delle password escluse viene applicato automaticamente a tutti gli utenti in un tenant di Microsoft Entra. Non c'è nulla da abilitare o configurare e non può essere disabilitato. Questo elenco globale di password escluse viene applicato agli utenti quando cambiano o reimpostano la propria password tramite Microsoft Entra ID.
Nota
I criminali informatici usano anche strategie simili nei loro attacchi per identificare le password e le variazioni deboli comuni. Per migliorare la sicurezza, Microsoft non pubblica il contenuto dell'elenco globale delle password escluse.
Elenco password personalizzate escluse
Alcune organizzazioni vogliono migliorare la sicurezza e aggiungere personalizzazioni personalizzate all'inizio dell'elenco globale delle password escluse. Per aggiungere voci personalizzate, è possibile usare l'elenco personalizzato di password escluse. I termini aggiunti all'elenco personalizzato di password escluse devono essere incentrati su termini specifici dell'organizzazione, ad esempio gli esempi seguenti:
- Nomi di marchio
- Nomi di prodotto
- Località, ad esempio la sede centrale aziendale
- Termini interni specifici della società
- Abbreviazioni con un significato specifico per la società
Quando i termini vengono aggiunti all'elenco personalizzato di password escluse, vengono combinati con i termini nell'elenco globale delle password escluse. Gli eventi di modifica o reimpostazione della password vengono quindi convalidati rispetto al set combinato di questi elenchi di password escluse.
Nota
L'elenco di password personalizzate escluse è limitato a un massimo di 1000 termini. Non è progettato per bloccare elenchi di password estremamente grandi.
Per sfruttare appieno i vantaggi dell'elenco personalizzato di password escluse, comprendere innanzitutto come vengono valutate le password prima di aggiungere termini all'elenco personalizzato di esclusione. Questo approccio consente di rilevare e bloccare in modo efficiente un numero elevato di password deboli e le relative varianti.
Si consideri ora un cliente denominato Contoso. L'azienda si trova a Londra e crea un prodotto denominato Widget. Per questo cliente di esempio, sarebbe sprecato e meno sicuro provare a bloccare varianti specifiche di questi termini:
- "Contoso!1"
- "Contoso@London"
- "ContosoWidget"
- "! Contoso"
- "LondonHQ"
Al contrario, è molto più efficiente e sicuro bloccare solo i termini di base chiave, ad esempio gli esempi seguenti:
- "Contoso"
- "Londra"
- "Widget"
L'algoritmo di convalida delle password blocca automaticamente varianti e combinazioni deboli.
Per iniziare a usare un elenco personalizzato di password escluse, completare l'esercitazione seguente:
Attacchi password spraying e elenchi di password compromessi di terze parti
Microsoft Entra Password Protection consente di difendersi dagli attacchi password spraying. La maggior parte degli attacchi password spray non tenta di attaccare più volte un singolo account. Questo comportamento aumenterebbe la probabilità di rilevamento, tramite il blocco dell'account o altri mezzi.
La maggior parte degli attacchi password spraying invia invece solo alcune delle password più deboli note per ogni account in un'azienda. Questa tecnica consente all'autore dell'attacco di cercare in tempi rapidi un account facilmente violabile ed evitare potenziali soglie di rilevamento.
Microsoft Entra Password Protection blocca in modo efficiente tutte le password vulnerabili note che potrebbero essere usate negli attacchi password spraying. Questa protezione si basa sui dati di telemetria della sicurezza reali di Microsoft Entra ID per compilare l'elenco globale delle password escluse.
Esistono alcuni siti Web di terze parti che enumerano milioni di password compromesse nelle precedenti violazioni della sicurezza note pubblicamente. È comune che i prodotti di convalida delle password di terze parti siano basati sul confronto di forza bruta rispetto a tali milioni di password. Tuttavia, queste tecniche non sono il modo migliore per migliorare la complessità complessiva delle password, in base alle strategie tipiche usate dagli utenti malintenzionati di password spraying.
Nota
L'elenco globale delle password escluse non è basato su origini dati di terze parti, inclusi gli elenchi di password compromessi.
Anche se l'elenco globale vietato è ridotto rispetto ad alcuni elenchi bulk di terze parti, viene originato dai dati di telemetria della sicurezza reali sugli attacchi password spray effettivi. Questo approccio migliora i livelli complessivi di sicurezza ed efficacia, a cui si aggiunge l'algoritmo di convalida delle password, che usa tecniche di corrispondenza fuzzy intelligenti. Di conseguenza, Microsoft Entra Password Protection rileva e blocca in modo efficiente milioni di password deboli più comuni da usare nell'azienda.
Scenari ibridi locali
Molte organizzazioni hanno un modello di identità ibrida che include Active Directory locale ambienti di Servizi di dominio Active Directory. Per estendere i vantaggi di sicurezza di Microsoft Entra Password Protection nell'ambiente di Active Directory Domain Services, è possibile installare componenti nei server locali. Questi agenti richiedono eventi di modifica della password nell'ambiente di Active Directory Domain Services locale per rispettare gli stessi criteri password di Microsoft Entra ID.
Per altre informazioni, vedere Applicare la protezione password di Microsoft Entra per Active Directory Domain Services.
Come vengono valutate le password
Quando un utente modifica o reimposta la password, viene verificata la complessità della nuova password confrontandola rispetto all'elenco combinato di termini dell'elenco di password vietate personalizzate e dell'elenco globale.
Anche se la password di un utente contiene una password vietata, è possibile che venga comunque accettata se la password complessiva è sufficientemente complessa. Una password appena configurata esegue i passaggi seguenti per valutarne l'attendibilità complessiva per determinare se deve essere accettata o rifiutata.
Importante
La protezione password in Microsoft Entra ID non è correlata alla protezione password per gli utenti locali. Le convalide nella protezione password non sono coerenti per gli utenti nei due servizi. Assicurarsi che gli utenti nel tenant soddisfino i parametri password necessari per il rispettivo servizio quando si impostano inizialmente la password o completano la reimpostazione della password self-service.
Nota
La protezione delle password in Microsoft Entra cloud non è correlata alla protezione password per gli utenti locali. Le convalide nella protezione password non sono coerenti per gli utenti nei due servizi. Assicurarsi che gli utenti nel tenant soddisfino i parametri password necessari per il rispettivo servizio quando si impostano inizialmente la password o completano la reimpostazione della password self-service.
Passaggio 1: Normalizzazione
Per prima cosa, una nuova password viene sottoposta a un processo di normalizzazione, Questa tecnica consente di eseguire il mapping di un piccolo set di password escluse a un set molto più ampio di password potenzialmente deboli.
La normalizzazione ha le due parti seguenti:
Tutte le lettere maiuscole vengono modificate in lettere minuscole.
Vengono quindi eseguite sostituzioni di caratteri comuni, ad esempio nell'esempio seguente:
Lettera originale Lettera sostituita 0 o 1 l $ s @ a
Si consideri l'esempio seguente:
- La password "vuota" è vietata.
- Un utente tenta di modificare la password in "Bl@nK".
- Anche se "Bl@nk" non è vietato, il processo di normalizzazione converte questa password in "blank".
- Questa password verrà rifiutata.
Passaggio 2: Controllare se la password è considerata vietata
Viene quindi esaminata una password per altri comportamenti corrispondenti e viene generato un punteggio. Questo punteggio finale determina se la richiesta di modifica della password viene accettata o rifiutata.
Comportamento della corrispondenza fuzzy
Sulla password normalizzata viene applicata la corrispondenza fuzzy per verificare che non contenga una password presente nell'elenco globale o nell'elenco personalizzato di password escluse. Il processo di corrispondenza è basato su una distanza di edit di un (1) confronto.
Si consideri l'esempio seguente:
La password "abcdef" è vietata.
Un utente tenta di modificare la password in uno dei modi seguenti:
- 'abcdeg' - l'ultimo personaggio è cambiato da 'f' a 'g'
- 'abcdefg' - 'g' accodato alla fine
- 'abcde': 'f' finale è stato eliminato dalla fine
Ognuna delle password precedenti non corrisponde in modo specifico alla password vietata "abcdef".
Tuttavia, poiché ogni esempio si trova all'interno di una distanza di modifica pari a 1 del termine vietato 'abcdef', tutti sono considerati come una corrispondenza con "abcdef".
Queste password verranno rifiutate.
Corrispondenza delle sottostringhe (su termini specifici)
La corrispondenza delle sottostringhe viene usata nella password normalizzata per verificare la presenza del nome e del cognome dell'utente, nonché del nome del tenant. La corrispondenza dei nomi del tenant non viene eseguita quando si convalidano le password in un controller di dominio di Active Directory Domain Services per scenari ibridi locali.
Importante
La corrispondenza delle sottostringhe viene applicata solo per i nomi e altri termini, con lunghezza di almeno quattro caratteri.
Si consideri l'esempio seguente:
- Un utente denominato Poll che vuole reimpostare la password su "p0LL23fb".
- Dopo la normalizzazione, questa password diventerà "poll23fb".
- La corrispondenza di sottostringa rileva che la password contiene il nome dell'utente "Poll".
- Anche se "poll23fb" non era specificamente presente nell'elenco delle password escluse, la corrispondenza di sottostringa ha trovato "Poll" nella password.
- Questa password verrà rifiutata.
Calcolo del punteggio
Il passaggio successivo consiste nell'identificare le eventuali istanze di password escluse presenti nella nuova password normalizzata dell'utente. I punti vengono assegnati in base ai criteri seguenti:
- A ogni password vietata trovata nella password di un utente viene assegnato un punto.
- A ogni carattere rimanente che non fa parte di una password vietata viene assegnato un punto.
- Una password deve essere almeno cinque (5) punti da accettare.
Per i due scenari di esempio successivi, Contoso usa la protezione password di Microsoft Entra e ha "contoso" nell'elenco personalizzato delle password escluse. Si supponga anche che "blank" sia presente nell'elenco globale.
Nello scenario di esempio seguente, un utente modifica la password in "C0ntos0Blank12":
Dopo la normalizzazione, questa password diventa "contosoblank12".
Il processo di corrispondenza rileva che questa password contiene due password escluse: "contoso" e "blank".
Questa password viene quindi assegnata al punteggio seguente:
[contoso] + [blank] + [1] + [2] = 4 punti
Poiché questa password è inferiore a cinque (5), viene rifiutata.
Si esaminerà un esempio leggermente diverso per mostrare come una password possa creare il numero di punti necessario da accettare in una password. Nello scenario di esempio seguente, un utente modifica la password in "ContoS0Bl@nkf9!":
Dopo la normalizzazione, questa password diventa "contosoblankf9!".
Il processo di corrispondenza rileva che questa password contiene due password escluse: "contoso" e "blank".
Questa password viene quindi assegnata al punteggio seguente:
[contoso] + [blank] + [f] + [9] + [!] = 5 punti
Poiché questa password è almeno cinque (5) punti, viene accettata.
Importante
L'algoritmo password vietato, insieme all'elenco globale delle password escluse, può e apportare modifiche in qualsiasi momento in Azure in base all'analisi e alla ricerca in corso sulla sicurezza.
Per il servizio agente del controller di dominio locale in scenari ibridi, gli algoritmi aggiornati diventano effettivi solo dopo l'aggiornamento del software dell'agente del controller di dominio.
Cosa vedono gli utenti
Quando un utente tenta di reimpostare o modificare una password in un elemento che verrebbe vietato, viene visualizzato uno dei messaggi di errore seguenti:
"Sfortunatamente, la password contiene una parola, una frase o un modello che rende la password facilmente individuabile. Riprovare con una password diversa".
"Abbiamo visto questa password troppe volte prima. Scegli qualcosa di più difficile da indovinare."
"Scegliere una password più difficile da indovinare."
Requisiti di licenza
| Utenti | Protezione password di Microsoft Entra con elenco globale di password vietate | Protezione password di Microsoft Entra con elenco di password vietate personalizzate |
|---|---|---|
| Solo utenti cloud | Microsoft Entra ID gratuito | Microsoft Entra ID P1 o P2 |
| Utenti sincronizzati dall'istanza locale di Active Directory Domain Services | Microsoft Entra ID P1 o P2 | Microsoft Entra ID P1 o P2 |
Nota
Gli utenti di Servizi di dominio Active Directory locali che non sono sincronizzati con Microsoft Entra ID traggono vantaggio anche da Microsoft Entra Password Protection in base alle licenze esistenti per gli utenti sincronizzati.
Per altre informazioni sulle licenze, vedere il sito dei prezzi di Microsoft Entra.
Passaggi successivi
Per iniziare a usare un elenco personalizzato di password escluse, completare l'esercitazione seguente:
È anche possibile abilitare la protezione password di Microsoft Entra locale.