Eliminare le password dannose usando la protezione password di Microsoft Entra

Molte indicazioni sulla sicurezza consigliano di non usare la stessa password in più posizioni, per renderla complessa e per evitare password semplici come Password123. È possibile fornire agli utenti indicazioni su come scegliere le password, ma spesso vengono usate password deboli o non sicure. Il servizio di protezione delle password di Microsoft Entra rileva e blocca le password vulnerabili note, con le relative varianti, e può bloccare anche ulteriori termini vulnerabili specifici di un'organizzazione.

Con Microsoft Entra Password Protection, gli elenchi predefiniti di password escluse globali vengono applicati automaticamente a tutti gli utenti in un tenant di Microsoft Entra. Per supportare specifiche esigenze aziendali e di sicurezza, è comunque possibile definire anche altre voci in un elenco personalizzato di password vietate. Quando gli utenti modificano o reimpostano le password, questi elenchi di password escluse vengono controllati per applicare l'uso di password complesse.

È consigliabile usare funzionalità aggiuntive come l'autenticazione a più fattori di Microsoft Entra, non solo affidarsi a password complesse applicate da Microsoft Entra Password Protection. Per altre informazioni sull'uso di più livelli di sicurezza per gli eventi di accesso, vedere Pa$$word non importa.

Importante

Questo articolo concettuale spiega a un amministratore il funzionamento della protezione password di Microsoft Entra. Se si è un utente finale già registrato per la reimpostazione della password self-service e si deve ripristinare l'accesso al proprio account, passare a https://aka.ms/sspr.

Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.

Elenco globale di password escluse

Il team microsoft Entra ID Protection analizza costantemente i dati di telemetria di microsoft Entra security cercando password vulnerabili o compromesse comunemente usate. In particolare, l'analisi cerca i termini di base spesso usati come base per le password deboli. Quando vengono trovati termini deboli, vengono aggiunti all'elenco globale delle password escluse. Il contenuto dell'elenco globale delle password escluse non si basa su alcuna origine dati esterna, ma sui risultati della telemetria e dell'analisi della sicurezza di Microsoft Entra.

Quando una password viene modificata o reimpostata per qualsiasi utente in un tenant di Microsoft Entra, la versione corrente dell'elenco globale delle password escluse viene usata per convalidare la complessità della password. Questo controllo di convalida consente di ottenere password più avanzate per tutti i clienti di Microsoft Entra.

L'elenco globale delle password escluse viene applicato automaticamente a tutti gli utenti in un tenant di Microsoft Entra. Non c'è nulla da abilitare o configurare e non può essere disabilitato. Questo elenco globale di password escluse viene applicato agli utenti quando cambiano o reimpostano la propria password tramite Microsoft Entra ID.

Nota

I criminali informatici usano anche strategie simili nei loro attacchi per identificare le password e le variazioni deboli comuni. Per migliorare la sicurezza, Microsoft non pubblica il contenuto dell'elenco globale delle password escluse.

Elenco password personalizzate escluse

Alcune organizzazioni vogliono migliorare la sicurezza e aggiungere personalizzazioni personalizzate all'inizio dell'elenco globale delle password escluse. Per aggiungere voci personalizzate, è possibile usare l'elenco personalizzato di password escluse. I termini aggiunti all'elenco personalizzato di password escluse devono essere incentrati su termini specifici dell'organizzazione, ad esempio gli esempi seguenti:

  • Nomi di marchio
  • Nomi di prodotto
  • Località, ad esempio la sede centrale aziendale
  • Termini interni specifici della società
  • Abbreviazioni con un significato specifico per la società

Quando i termini vengono aggiunti all'elenco personalizzato di password escluse, vengono combinati con i termini nell'elenco globale delle password escluse. Gli eventi di modifica o reimpostazione della password vengono quindi convalidati rispetto al set combinato di questi elenchi di password escluse.

Nota

L'elenco di password personalizzate escluse è limitato a un massimo di 1000 termini. Non è progettato per bloccare elenchi di password estremamente grandi.

Per sfruttare appieno i vantaggi dell'elenco personalizzato di password escluse, comprendere innanzitutto come vengono valutate le password prima di aggiungere termini all'elenco personalizzato di esclusione. Questo approccio consente di rilevare e bloccare in modo efficiente un numero elevato di password deboli e le relative varianti.

Modify the custom banned password list under Authentication Methods

Si consideri ora un cliente denominato Contoso. L'azienda si trova a Londra e crea un prodotto denominato Widget. Per questo cliente di esempio, sarebbe sprecato e meno sicuro provare a bloccare varianti specifiche di questi termini, ad esempio:

  • "Contoso!1"
  • "Contoso@London"
  • "ContosoWidget"
  • "! Contoso"
  • "LondonHQ"

Al contrario, è molto più efficiente e sicuro bloccare solo i termini di base chiave, ad esempio gli esempi seguenti:

  • "Contoso"
  • "Londra"
  • "Widget"

L'algoritmo di convalida delle password blocca automaticamente varianti e combinazioni deboli.

Per iniziare a usare un elenco personalizzato di password escluse, completare l'esercitazione seguente:

Attacchi password spraying e elenchi di password compromessi di terze parti

Microsoft Entra Password Protection consente di difendersi dagli attacchi password spraying. La maggior parte degli attacchi password spray non tenta di attaccare più volte un singolo account. Questo comportamento aumenterebbe la probabilità di rilevamento, tramite il blocco dell'account o altri mezzi.

Al contrario, la maggior parte degli attacchi password spraying invia solo un numero ridotto di password più deboli note contro ogni account in un'azienda. Questa tecnica consente all'autore dell'attacco di cercare in tempi rapidi un account facilmente violabile ed evitare potenziali soglie di rilevamento.

Microsoft Entra Password Protection blocca in modo efficiente tutte le password vulnerabili note che potrebbero essere usate negli attacchi password spraying. Questa protezione si basa sui dati di telemetria della sicurezza reali di Microsoft Entra ID per compilare l'elenco globale delle password escluse.

Esistono alcuni siti Web di terze parti che enumerano milioni di password compromesse nelle precedenti violazioni della sicurezza note pubblicamente. È comune che i prodotti di convalida delle password di terze parti siano basati sul confronto di forza bruta rispetto a tali milioni di password. Tuttavia, queste tecniche non sono il modo migliore per migliorare la complessità complessiva delle password, in base alle strategie tipiche usate dagli utenti malintenzionati di password spraying.

Nota

L'elenco globale delle password escluse non è basato su origini dati di terze parti, inclusi gli elenchi di password compromessi.

Anche se l'elenco globale vietato è ridotto rispetto ad alcuni elenchi bulk di terze parti, viene originato dai dati di telemetria della sicurezza reali sugli attacchi password spray effettivi. Questo approccio migliora i livelli complessivi di sicurezza ed efficacia, a cui si aggiunge l'algoritmo di convalida delle password, che usa tecniche di corrispondenza fuzzy intelligenti. Di conseguenza, Microsoft Entra Password Protection rileva e blocca in modo efficiente milioni di password deboli più comuni da usare nell'azienda.

Scenari ibridi locali

Molte organizzazioni hanno un modello di identità ibrida che include Active Directory locale ambienti di Servizi di dominio Active Directory. Per estendere i vantaggi di sicurezza di Microsoft Entra Password Protection nell'ambiente di Active Directory Domain Services, è possibile installare componenti nei server locali. Questi agenti richiedono eventi di modifica della password nell'ambiente di Active Directory Domain Services locale per rispettare gli stessi criteri password di Microsoft Entra ID.

Per altre informazioni, vedere Applicare la protezione password di Microsoft Entra per Active Directory Domain Services.

Come vengono valutate le password

Quando un utente modifica o reimposta la password, viene verificata la complessità della nuova password confrontandola rispetto all'elenco combinato di termini dell'elenco di password vietate personalizzate e dell'elenco globale.

Anche se la password di un utente contiene una password vietata, è possibile che venga comunque accettata se la password complessiva è sufficientemente complessa. Una nuova password configurata esegue i passaggi seguenti per valutarne l'attendibilità complessiva per determinare se deve essere accettata o rifiutata:

Passaggio 1: Normalizzazione

Per prima cosa, una nuova password viene sottoposta a un processo di normalizzazione, Questa tecnica consente di eseguire il mapping di un piccolo set di password escluse a un set molto più ampio di password potenzialmente deboli.

La normalizzazione ha le due parti seguenti:

  • Tutte le lettere maiuscole vengono modificate in lettere minuscole.

  • Vengono quindi eseguite sostituzioni di caratteri comuni, ad esempio nell'esempio seguente:

    Lettera originale Lettera sostituita
    0 o
    1 l
    $ s
    @ a

Si consideri l'esempio seguente:

  • La password "vuota" è vietata.
  • Un utente tenta di modificare la password in "Bl@nK".
  • Anche se "Bl@nk" non è vietato, il processo di normalizzazione converte questa password in "blank".
  • Questa password verrà rifiutata.

Passaggio 2: Controllare se la password è considerata vietata

Viene quindi esaminata una password per altri comportamenti corrispondenti e viene generato un punteggio. Questo punteggio finale determina se la richiesta di modifica della password viene accettata o rifiutata.

Comportamento della corrispondenza fuzzy

Sulla password normalizzata viene applicata la corrispondenza fuzzy per verificare che non contenga una password presente nell'elenco globale o nell'elenco personalizzato di password escluse. Il processo di corrispondenza è basato su una distanza di edit di un (1) confronto.

Si consideri l'esempio seguente:

  • La password "abcdef" è vietata.

  • Un utente tenta di modificare la password in uno dei modi seguenti:

    • 'abcdeg' - l'ultimo personaggio è cambiato da 'f' a 'g'
    • 'abcdefg' - 'g' accodato alla fine
    • 'abcde': 'f' finale è stato eliminato dalla fine
  • Ognuna delle password precedenti non corrisponde in modo specifico alla password vietata "abcdef".

    Tuttavia, poiché ogni esempio si trova all'interno di una distanza di modifica pari a 1 del termine vietato 'abcdef', tutti sono considerati come una corrispondenza con "abcdef".

  • Queste password verranno rifiutate.

Corrispondenza delle sottostringhe (su termini specifici)

La corrispondenza delle sottostringhe viene usata nella password normalizzata per verificare la presenza del nome e del cognome dell'utente, nonché del nome del tenant. La corrispondenza dei nomi del tenant non viene eseguita quando si convalidano le password in un controller di dominio di Active Directory Domain Services per scenari ibridi locali.

Importante

La corrispondenza delle sottostringhe viene applicata solo per i nomi e altri termini, con lunghezza di almeno quattro caratteri.

Si consideri l'esempio seguente:

  • Un utente denominato Poll che vuole reimpostare la password su "p0LL23fb".
  • Dopo la normalizzazione, questa password diventerà "poll23fb".
  • La corrispondenza di sottostringa rileva che la password contiene il nome dell'utente "Poll".
  • Anche se "poll23fb" non era specificamente presente nell'elenco delle password escluse, la corrispondenza di sottostringa ha trovato "Poll" nella password.
  • Questa password verrà rifiutata.

Calcolo del punteggio

Il passaggio successivo consiste nell'identificare le eventuali istanze di password escluse presenti nella nuova password normalizzata dell'utente. I punti vengono assegnati in base ai criteri seguenti:

  1. A ogni password vietata trovata nella password di un utente viene assegnato un punto.
  2. A ogni carattere rimanente che non fa parte di una password vietata viene assegnato un punto.
  3. Una password deve essere almeno cinque (5) punti da accettare.

Per i due scenari di esempio successivi, Contoso usa la protezione password di Microsoft Entra e ha "contoso" nell'elenco personalizzato delle password escluse. Si supponga anche che "blank" sia presente nell'elenco globale.

Nello scenario di esempio seguente, un utente modifica la password in "C0ntos0Blank12":

  • Dopo la normalizzazione, questa password diventa "contosoblank12".

  • Il processo di corrispondenza rileva che questa password contiene due password escluse: "contoso" e "blank".

  • Questa password viene quindi assegnata al punteggio seguente:

    [contoso] + [blank] + [1] + [2] = 4 punti

  • Poiché questa password è inferiore a cinque (5), viene rifiutata.

Si esaminerà un esempio leggermente diverso per mostrare come una complessità aggiuntiva in una password possa creare il numero di punti necessario da accettare. Nello scenario di esempio seguente, un utente modifica la password in "ContoS0Bl@nkf9!":

  • Dopo la normalizzazione, questa password diventa "contosoblankf9!".

  • Il processo di corrispondenza rileva che questa password contiene due password escluse: "contoso" e "blank".

  • Questa password viene quindi assegnata al punteggio seguente:

    [contoso] + [blank] + [f] + [9] + [!] = 5 punti

  • Poiché questa password è almeno cinque (5) punti, viene accettata.

Importante

L'algoritmo password vietato, insieme all'elenco globale delle password escluse, può e apportare modifiche in qualsiasi momento in Azure in base all'analisi e alla ricerca in corso sulla sicurezza.

Per il servizio agente del controller di dominio locale in scenari ibridi, gli algoritmi aggiornati diventano effettivi solo dopo l'aggiornamento del software dell'agente del controller di dominio.

Cosa vedono gli utenti

Quando un utente tenta di reimpostare o modificare una password in un elemento che verrebbe vietato, viene visualizzato uno dei messaggi di errore seguenti:

"Sfortunatamente, la password contiene una parola, una frase o un modello che rende la password facilmente individuabile. Riprovare con una password diversa".

"Abbiamo visto questa password troppe volte prima. Scegli qualcosa di più difficile da indovinare."

"Scegliere una password più difficile da indovinare."

Requisiti di licenza

Utenti Protezione password di Microsoft Entra con elenco globale di password vietate Protezione password di Microsoft Entra con elenco di password vietate personalizzate
Solo utenti cloud Microsoft Entra ID gratuito Microsoft Entra ID P1 o P2
Utenti sincronizzati dall'istanza locale di Active Directory Domain Services Microsoft Entra ID P1 o P2 Microsoft Entra ID P1 o P2

Nota

Gli utenti di Servizi di dominio Active Directory locali che non sono sincronizzati con Microsoft Entra ID traggono vantaggio anche da Microsoft Entra Password Protection in base alle licenze esistenti per gli utenti sincronizzati.

Altre informazioni sulle licenze, inclusi i costi, sono disponibili nel sito dei prezzi di Microsoft Entra.

Passaggi successivi

Per iniziare a usare un elenco personalizzato di password escluse, completare l'esercitazione seguente:

È anche possibile abilitare la protezione password di Microsoft Entra locale.