Zwakke wachtwoorden elimineren met Azure Active Directory wachtwoordbeveiliging

Veel beveiligingsrichtlijnen raden u aan niet hetzelfde wachtwoord op meerdere plaatsen te gebruiken, om het wachtwoord complex te maken en om eenvoudige wachtwoorden zoals Wachtwoord123 te voorkomen. U kunt uw gebruikers richtlijnen geven voor het kiezen van wachtwoorden, maar zwakke of onveilige wachtwoorden worden vaak nog steeds gebruikt. Azure AD-wachtwoordbeveiliging detecteert en blokkeert bekende zwakke wachtwoorden en de bijbehorende varianten, en kan ook aanvullende zwakke termen die specifiek zijn voor uw organisatie blokkeren.

Met Azure AD-wachtwoordbeveiliging worden standaard algemene lijsten met verboden wachtwoorden automatisch toegepast op alle gebruikers in een Azure AD-tenant. Ter ondersteuning van uw eigen bedrijfs- en beveiligingsbehoeften kunt u vermeldingen definiëren in een aangepaste lijst met verboden wachtwoorden. Wanneer gebruikers hun wachtwoord wijzigen of opnieuw instellen, worden deze lijsten met verboden wachtwoorden gecontroleerd om het gebruik van sterke wachtwoorden af te dwingen.

U moet ook aanvullende functies zoals Azure AD Multi-Factor Authentication gebruiken, en niet alleen afhankelijk zijn van sterke wachtwoorden die worden afgedwongen door Azure AD-wachtwoordbeveiliging. Zie Uw W@chtw00rd maakt niet uit voor meer informatie over het gebruik van meerdere beveiligingslagen voor uw aanmeldingsgebeurtenissen.

Belangrijk

In dit conceptuele artikel wordt uitgelegd hoe wachtwoordbeveiliging van Azure AD werkt. Als u een eindgebruiker bent die al is geregistreerd voor self-service voor wachtwoordherstel en u weer toegang tot uw account wilt hebben, gaat u naar https://aka.ms/sspr.

Als uw IT-team u de mogelijkheid niet heeft gegeven uw eigen wachtwoord opnieuw in te stellen, kunt u contact opnemen met de helpdesk voor meer informatie.

Algemene lijst met verboden wachtwoorden

Het Azure AD Identity Protection-team analyseert voortdurend Azure AD-beveiligingstelemetriegegevens en zoekt naar veelgebruikte zwakke of gecompromitteerde wachtwoorden. In de analyse wordt met name gezocht naar basistermen die vaak worden gebruikt als basis voor zwakke wachtwoorden. Wanneer zwakke termen worden gevonden, worden ze toegevoegd aan de algemene lijst met verboden wachtwoorden. De inhoud van de algemene lijst met verboden wachtwoorden is niet gebaseerd op een externe gegevensbron, maar op de resultaten van Azure AD beveiligingstelemetrie en -analyse.

Wanneer een wachtwoord wordt gewijzigd of opnieuw wordt ingesteld voor een gebruiker in een Azure AD-tenant, wordt de huidige versie van de algemene lijst met verboden wachtwoorden gebruikt om de sterkte van het wachtwoord te valideren. Deze validatiecontrole leidt tot sterkere wachtwoorden voor alle Azure AD-klanten.

De algemene lijst met verboden wachtwoorden wordt automatisch toegepast op alle gebruikers in een Azure AD-tenant. Er is niets om in te schakelen of te configureren en er kan niets worden uitgeschakeld. Deze algemene lijst met verboden wachtwoorden wordt toegepast op gebruikers wanneer ze hun eigen wachtwoord wijzigen of opnieuw instellen via Azure AD.

Notitie

Cybercriminelen gebruiken ook vergelijkbare strategieën in hun aanvallen om veelvoorkomende zwakke wachtwoorden en variaties te identificeren. Om de beveiliging te verbeteren, publiceert Microsoft de inhoud van de algemene lijst met verboden wachtwoorden niet.

Aangepaste lijst met verboden wachtwoorden

Sommige organisaties willen de beveiliging verbeteren en hun eigen aanpassingen toevoegen aan de algemene lijst met verboden wachtwoorden. Als u uw eigen vermeldingen wilt toevoegen, kunt u de aangepaste lijst met verboden wachtwoorden gebruiken. Termen die worden toegevoegd aan de aangepaste lijst met verboden wachtwoorden moeten organisatiespecifieke termen zijn, zoals de volgende voorbeelden:

  • Merknamen
  • Productnamen
  • Locaties, zoals het hoofdkantoor van het bedrijf
  • Bedrijfsspecifieke interne termen
  • Afkortingen met een specifieke betekenis binnen het bedrijf

Wanneer termen worden toegevoegd aan de aangepaste lijst met verboden wachtwoorden, worden ze gecombineerd met de termen in de algemene lijst met verboden wachtwoorden. Als een wachtwoord wordt gewijzigd of opnieuw wordt ingesteld, wordt dit gevalideerd op basis van de gecombineerde set van deze lijsten met verboden wachtwoorden.

Notitie

De aangepaste lijst met verboden wachtwoorden kan maximaal 1000 termen bevatten. De lijst is niet bedoeld om zeer grote aantallen wachtwoorden te blokkeren.

Als u volledig gebruik wilt maken van de voordelen van de aangepaste lijst met verboden wachtwoorden, moet u eerst begrijpen hoe wachtwoorden worden geëvalueerd voordat u termen aan de aangepaste lijst met verboden wachtwoorden toevoegt. Met deze methode kunt u efficiënt grote aantallen zwakke wachtwoorden en hun varianten detecteren en blokkeren.

De aangepaste lijst met verboden wachtwoorden wijzigen onder Verificatiemethoden

Laten we eens kijken naar een klant met de naam Contoso. Het bedrijf is gevestigd in Londen en maakt een product met de naam Widget. Voor dit voorbeeld van een klant zou het zonde en minder veilig zijn om specifieke variaties van deze termen te blokkeren, zoals de volgende:

  • "Contoso!1"
  • "Contoso@London"
  • "ContosoWidget"
  • "!Contoso"
  • "LondonHQ"

In plaats daarvan is het veel efficiënter en veiliger om alleen de belangrijkste basistermen te blokkeren, zoals de volgende voorbeelden:

  • Contoso
  • Londen
  • Widget

Het algoritme voor wachtwoordvalidatie blokkeert vervolgens automatisch zwakke varianten en combinaties.

Voltooi de volgende zelfstudie om aan de slag te gaan met het gebruik van een aangepaste lijst met verboden wachtwoorden:

Wachtwoordsprayaanvallen en lijsten met gecompromitteerde wachtwoorden van derden

Wachtwoordbeveiliging van Azure AD helpt u bij de bescherming tegen wachtwoordsprayaanvallen. De meeste wachtwoordsprayaanvallen proberen geen afzonderlijke accounts meer dan een paar keer aan te vallen. Dit gedrag vergroot de kans op detectie, hetzij via accountvergrendeling of op een andere manier.

In plaats daarvan sturen de meeste wachtwoordsprayaanvallen slechts een klein aantal bekende zwakste wachtwoorden naar elk van de accounts in een onderneming. Met deze techniek kan de aanvaller snel zoeken naar een gecompromitteerd account en potentiële detectiedrempels omzeilen.

Wachtwoordbeveiliging van Azure AD blokkeert efficiënt alle bekende zwakke wachtwoorden die waarschijnlijk worden gebruikt bij wachtwoordsprayaanvallen. Deze beveiliging is gebaseerd op bestaande beveiligingstelemetriegegevens van Azure AD waarmee de algemene lijst met verboden wachtwoorden wordt samengesteld.

Er zijn enkele websites van derden die miljoenen wachtwoorden bevatten die zijn gecompromitteerd in eerdere algemeen bekende beveiligingslekken. Het is gebruikelijk dat producten voor wachtwoordvalidatie van derden worden gebaseerd op brute-force vergelijkingen met die miljoenen wachtwoorden. Deze technieken zijn echter niet de beste manier om de algehele wachtwoordsterkte te verbeteren, gezien de typische strategieën die worden gebruikt door wachtwoordsprayaanvallers.

Notitie

De algemene lijst met verboden wachtwoorden is niet gebaseerd op gegevensbronnen van derden, waaronder lijsten met gecompromitteerde wachtwoorden.

Hoewel de algemene lijst met verboden wachtwoorden klein is in vergelijking met sommige bulklijsten van derden, is deze afkomstig uit echte beveiligingstelemetrie over daadwerkelijke wachtwoordsprayaanvallen. Deze aanpak verbetert de algehele beveiliging en effectiviteit. Ook maakt het algoritme voor wachtwoordvalidatie gebruik van slimme fuzzy-matchingtechnieken. Als gevolg hiervan detecteert en blokkeert de wachtwoordbeveiliging van Azure AD miljoenen van de meest voorkomende zwakke wachtwoorden die in uw onderneming worden gebruikt.

On-premises hybride scenario's

Veel organisaties hebben een hybride identiteitsmodel dat on-premises Active Directory AD DS-omgevingen (Domain Services) bevat. Als u de beveiligingsvoordelen van Azure AD-wachtwoordbeveiliging wilt uitbreiden naar uw AD DS-omgeving, kunt u onderdelen op uw on-premises servers installeren. Deze agents vereisen dat gebeurtenissen voor wachtwoordwijziging in de on-premises AD DS-omgeving overeenkomen met hetzelfde wachtwoordbeleid als in Azure AD.

Zie Azure AD-wachtwoordbeveiliging afdwingen voor AD DS voor meer informatie.

Hoe worden wachtwoorden geëvalueerd?

Wanneer gebruikers hun wachtwoord wijzigen of opnieuw instellen, wordt het nieuwe wachtwoord gecontroleerd op sterkte en complexiteit door het te valideren aan de hand van de gecombineerde lijst met termen uit de lijsten met algemene en aangepaste verboden wachtwoorden.

Ook als het wachtwoord van een gebruiker een verboden wachtwoord bevat, kan het wachtwoord worden geaccepteerd als het algemene wachtwoord voor de rest sterk genoeg is. Een nieuw geconfigureerd wachtwoord doorloopt de volgende stappen om de algehele sterkte te beoordelen om te bepalen of het moet worden geaccepteerd of geweigerd:

Stap 1: Normalisatie

Een nieuw wachtwoord doorloopt eerst een normalisatieproces. Met deze techniek kan een kleine verzameling verboden wachtwoorden worden toegewezen aan een veel grotere verzameling mogelijk zwakke wachtwoorden.

Normalisatie bevat de volgende twee onderdelen:

  • Alle hoofdletters worden gewijzigd in kleine letters.

  • Vervolgens worden veelvoorkomende tekenvervangingen uitgevoerd, zoals in het volgende voorbeeld:

    Oorspronkelijke letter Vervangen letter
    0 o
    1 l
    $ s
    @ een

Kijk eens naar het volgende voorbeeld:

  • Het wachtwoord 'blank' is verboden.
  • Een gebruiker probeert het wachtwoord te wijzigen in 'Bl@nK'.
  • Hoewel 'Bl@nk' niet is verboden, wordt dit wachtwoord door het normalisatieproces geconverteerd naar 'blank'.
  • Dit wachtwoord wordt geweigerd.

Stap 2: Controleren of het wachtwoord als verboden wordt beschouwd

Een wachtwoord wordt vervolgens onderzocht op ander overeenkomend gedrag en er wordt een score gegenereerd. Deze eindscore bepaalt of de aanvraag voor wachtwoordwijziging wordt geaccepteerd of geweigerd.

Fuzzy overeenkomsten

Fuzzy overeenkomsten worden gebruikt voor het genormaliseerde wachtwoord om te bepalen of het een wachtwoord bevat dat is gevonden op de algemene of de aangepaste lijst met verboden wachtwoorden. Het overeenkomstproces is gebaseerd op een bewerkingsafstand van één (1) vergelijking.

Kijk eens naar het volgende voorbeeld:

  • Het wachtwoord 'abcdef' is verboden.

  • Een gebruiker probeert het wachtwoord te wijzigen in een van de volgende opties:

    • 'abcdeg': laatste teken is gewijzigd van 'f' in 'g'
    • 'abcdefg': 'g' toegevoegd aan einde
    • 'abcde': 'f' is aan einde verwijderd
  • Elk van de bovenstaande wachtwoorden komt niet specifiek overeen met het verboden wachtwoord 'abcdef'.

    Aangezien elk voorbeeld zich echter binnen een bewerkingsafstand van 1 van de verboden term 'abcdef' bevindt, worden ze allemaal beschouwd als een overeenkomst met 'abcdef'.

  • Deze wachtwoorden worden geweigerd.

Subtekenreeksovereenkomst (in specifieke termen)

Subtekenreeksovereenkomst wordt gebruikt voor het genormaliseerde wachtwoord om te controleren op de voor- en achternaam van de gebruiker, evenals de tenantnaam. Tenantnaamovereenkomst wordt niet uitgevoerd bij het valideren van wachtwoorden op een AD DS-domeincontroller voor on-premises hybride scenario's.

Belangrijk

Subtekenreeksovereenkomst wordt alleen afgedwongen voor namen, en andere termen, die ten minste vier tekens lang zijn.

Kijk eens naar het volgende voorbeeld:

  • Een gebruiker met de naam Poll die het wachtwoord opnieuw wil instellen op 'p0LL23fb'.
  • Na normalisatie wordt dit wachtwoord 'poll23fb'.
  • Met subtekenreeksovereenkomst wordt gevonden dat het wachtwoord de voornaam 'Poll' van de gebruiker bevat.
  • Hoewel poll23fb niet specifiek op een lijst met verboden wachtwoorden stond, vond subtekenreeksovereenkomst 'Poll' in het wachtwoord.
  • Dit wachtwoord wordt geweigerd.

Scoreberekening

De volgende stap is het identificeren van alle exemplaren van verboden wachtwoorden in het genormaliseerde nieuwe wachtwoord van de gebruiker. Er worden punten toegewezen op basis van de volgende criteria:

  1. Elk verboden wachtwoord dat in het wachtwoord van een gebruiker wordt gevonden, krijgt één punt.
  2. Elk resterende teken dat geen deel uitmaakt van een verboden wachtwoord krijgt één punt.
  3. Een wachtwoord moet ten minste vijf (5) punten bevatten om te worden geaccepteerd.

Voor de volgende twee voorbeeldscenario's gebruikt Contoso wachtwoordbeveiliging van Azure AD en staat 'contoso' in de aangepaste lijst met verboden wachtwoorden. We gaan er ook van uit dat 'blank' in de algemene lijst staat.

In het volgende voorbeeldscenario wijzigt een gebruiker het wachtwoord in 'C0ntos0Blank12':

  • Na normalisatie wordt dit wachtwoord 'contosoblank12'.

  • Het overeenkomende proces vindt dat dit wachtwoord twee verboden wachtwoorden bevat: 'contoso' en 'blank'.

  • Dit wachtwoord krijgt de volgende score:

    [contoso] + [blank] + [1] + [2] = 4 punten

  • Omdat dit wachtwoord minder dan vijf (5) punten heeft, wordt het geweigerd.

Laten we een iets ander voorbeeld bekijken om te laten zien hoe extra complexiteit in een wachtwoord kan zorgen voor het vereiste aantal punten om te worden geaccepteerd. In het volgende voorbeeldscenario wijzigt een gebruiker het wachtwoord in 'ContoS0Bl@nkf9!':

  • Na normalisatie wordt dit wachtwoord 'contosoblankf9!'.

  • Het overeenkomende proces vindt dat dit wachtwoord twee verboden wachtwoorden bevat: 'contoso' en 'blank'.

  • Dit wachtwoord krijgt de volgende score:

    [contoso] + [blank] + [f] + [9] + [!] = 5 punten

  • Omdat dit wachtwoord minimaal vijf (5) punten heeft, wordt het geaccepteerd.

Belangrijk

Het algoritme voor verboden wachtwoorden kan, samen met de algemene lijst met verboden wachtwoorden, op elk gewenst moment in Azure worden gewijzigd op basis van doorlopende beveiligingsanalyse en onderzoek en dit gebeurt ook.

Voor de on-premises DC-agentservice in hybride scenario's worden bijgewerkte algoritmen pas van kracht nadat de DC-agentsoftware is bijgewerkt.

Wat gebruikers zien

Wanneer een gebruiker probeert om een wachtwoord opnieuw in te stellen of te wijzigen in iets dat verboden is, wordt een van de volgende foutberichten weergegeven:

'Uw wachtwoord bevat een woord, woordgroep of patroon waardoor het wachtwoord gemakkelijk te raden is. Probeer het opnieuw met een ander wachtwoord.'

'Dit wachtwoord is te vaak ingesteld. Kies iets dat moeilijker te raden is.'

'Kies een wachtwoord dat moeilijk kan worden geraden.'

Licentievereisten

Gebruikers Azure AD-wachtwoordbeveiliging met algemene lijst met verboden wachtwoorden Azure AD-wachtwoordbeveiliging met aangepaste lijst met verboden wachtwoorden
Alleen-cloud gebruikers Azure AD Free Azure AD Premium P1 of P2
Gebruikers gesynchroniseerd vanuit on-premises AD DS Azure AD Premium P1 of P2 Azure AD Premium P1 of P2

Notitie

On-premises AD DS-gebruikers die niet met Azure AD zijn gesynchroniseerd, hebben ook voordeel van Azure AD-wachtwoordbeveiliging op basis van bestaande licenties voor gesynchroniseerde gebruikers.

Aanvullende licentiegegevens, inclusief kosten, vindt u op de site met prijzen van Azure Active Directory.

Volgende stappen

Voltooi de volgende zelfstudie om aan de slag te gaan met het gebruik van een aangepaste lijst met verboden wachtwoorden:

U kunt vervolgens ook on-premises Azure AD-wachtwoordbeveiliging inschakelen.