Zalecenia dotyczące zasad haseł dla haseł platformy Microsoft 365

Zapoznaj się z całą naszą zawartością dotyczącą małych firm na stronie Małe firmy — pomoc i informacje.

Jako administrator organizacji odpowiadasz za ustawianie zasad haseł dla użytkowników w organizacji. Ustawienie zasad haseł może być skomplikowane i mylące, a ten artykuł zawiera zalecenia, aby zapewnić bezpieczniejszą ochronę organizacji przed atakami haseł.

Konta tylko w chmurze firmy Microsoft mają wstępnie zdefiniowane zasady haseł, których nie można zmienić. Jedyne elementy, które można zmienić, to liczba dni, po których hasło wygaśnie i czy hasła w ogóle wygasną.

Aby określić, jak często hasła platformy Microsoft 365 wygasają w organizacji, zobacz Ustawianie zasad wygasania haseł dla platformy Microsoft 365.

Aby uzyskać więcej informacji na temat haseł platformy Microsoft 365, zobacz:

Resetowanie haseł (artykuł)

Ustaw hasło pojedynczego użytkownika, aby nigdy nie wygasało (artykuł)

Zezwalaj użytkownikom na resetowanie własnych haseł (artykuł)

Ponowne zapisywanie hasła użytkownika (artykuł)

Czas na ponowne przemyślenie obowiązkowych zmian haseł.

Zrozumienie zaleceń dotyczących haseł

Dobre praktyki dotyczące haseł można podzielić na kilka ogólnych kategorii:

• Zadbanie o odporność na typowe ataki Obejmuje to wybór miejsc, w których użytkownicy wprowadzają hasła (znane i zaufane urządzenia wyposażone w skuteczne mechanizmy wykrywania złośliwego oprogramowania, zweryfikowane strony) oraz dobór odpowiedniego hasła (długość i niepowtarzalność).

• Ograniczanie strat w przypadku skutecznych ataków Ograniczanie strat w przypadku skutecznych ataków hakerów polega na ograniczaniu narażenia do konkretnej usługi lub całkowite uniknięcie strat, jeżeli hasło użytkownika zostanie skradzione. Na przykład warto się upewnić, czy przechwycenie Twoich danych uwierzytelniających do sieci społecznościowej nie wpłynie na bezpieczeństwo Twojego konta bankowego, lub zapobiegać akceptowaniu przez słabo zabezpieczone konta łączy do resetowania hasła na ważnym koncie.

• Zrozum naturę ludzką Wiele dobrych praktyk w zakresie haseł zawodzi w starciu z naturalnymi ludzkimi zachowaniami. Zrozumienie ludzkiej natury ma kluczowe znaczenie, ponieważ badania pokazują, że prawie każda reguła narzucona użytkownikom powoduje osłabienie jakości haseł. Wymagania dotyczące długości, stosowania znaków specjalnych i zmian haseł powodują ujednolicenie haseł, co sprawia, że intruzom łatwiej jest je odgadnąć lub złamać.

Wskazówki dla administratorów dotyczące haseł

Aby system był bezpieczniejszy, hasła powinny być przede wszystkim bardziej zróżnicowane. Warto dążyć do tego, aby Twoje zasady dotyczące haseł zawierały wiele różnych i trudnych do odgadnięcia haseł. Oto kilka zaleceń dotyczących utrzymania jak najwyższego poziomu zabezpieczeń w organizacji.

• Utrzymywanie wymagania dotyczącego długości minimalnej dla ośmiu znaków

• Nie wprowadzaj wymogów dotyczących wymaganych znaków. Na przykład *&(^%$

• Nie wymagaj okresowego obowiązkowego resetowania haseł do kont użytkowników.

• Zabroń korzystania z typowych haseł w celu wyeliminowania najłatwiejszych do złamania haseł.

• Edukowanie użytkowników, aby nie używać ponownie haseł organizacji do celów niezwiązanych z pracą

• Wymuś korzystanie z uwierzytelniania wieloskładnikowego.

• Włączanie wyzwań związanych z uwierzytelnianiem wieloskładnikowym opartym na ryzyku

Wskazówki dotyczące haseł dla Twoich użytkowników

Oto kilka wskazówek dotyczących haseł dla użytkowników w Twojej organizacji. Zadbaj o to, aby użytkownicy znali te zalecenia i egzekwuj stosowanie się do zalecanych zasad dotyczących haseł na poziomie organizacji.

• Nie używaj hasła podobnego do używanego w innych witrynach internetowych lub takiego samego.

• Nie używaj jednego słowa, na przykład hasła ani często używanej frazy, takiej jak Iloveyou

• Trudno odgadnąć hasła, nawet przez ludzi, którzy wiedzą o Tobie wiele, takich jak nazwiska i urodziny twoich przyjaciół i rodziny, ulubione zespoły i frazy, których chcesz użyć

Przykłady typowego podejścia i jego negatywne skutki

Są to jedne z najczęściej używanych praktyk zarządzania hasłami, ale badania ostrzegają nas o ich negatywnym wpływie.

Obowiązkowe wygasanie haseł

Wymagania dotyczące wygasania haseł wyrządzają więcej szkody niż pożytku, ponieważ sprawiają, że użytkownicy wybierają przewidywalne hasła składające się z sekwencyjnych słów i liczb, które są ze sobą ściśle powiązane. W takich przypadkach kolejne hasło można przewidzieć na podstawie poprzedniego hasła. Wymagania dotyczące wygasania haseł nie oferują żadnych korzyści związanych z powstrzymywaniem, ponieważ cyberprzestępcy prawie zawsze używają poświadczeń natychmiast po ich naruszeniach.

Minimalne wymagania dotyczące długości hasła

Aby zachęcić użytkowników do myślenia o unikatowym haśle, zalecamy zachowanie rozsądnego wymagania dotyczącego minimalnej długości ośmiu znaków.

Wymóg stosowania różnych rodzajów znaków

Wymogi dotyczące złożoności ograniczają dostępne miejsce i powodują, że użytkownicy postępują w przewidywalny sposób, co przynosi więcej szkody niż pożytku. W większości systemów obowiązują pewne wymogi dotyczące złożoności haseł. Na przykład hasło musi składać się ze znaków ze wszystkich trzech poniższych kategorii:

• wielkie litery;

• małe litery;

• znaki niealfanumeryczne.

Większość osób używa podobnych wzorców. Na przykład wielka litera w pierwszej pozycji, symbol w ostatnim i liczba z ostatnich 2. Cyberprzestępcy są świadomi takich wzorców, więc uruchamiają swoje ataki słownikowe przy użyciu najczęściej używanych podstawień" dla "s", "@" dla "a", "1" dla "l". Nakładanie na użytkowników obowiązku używania kombinacji wielkich i małych liter, cyfr i znaków specjalnych ma negatywny efekt. Zastosowanie niektórych wymogów dotyczących złożoności uniemożliwia nawet użytkownikom korzystanie z bezpiecznych i łatwych do zapamiętania haseł, a także zmusza ich do wymyślania takich, które będą mniej bezpieczne i trudniejsze do zapamiętania.

Skuteczne wzorce

Teraz omówimy zalecenia, które sprzyjają stosowaniu zróżnicowanych haseł.

Wyklucz korzystanie z typowych haseł

Najistotniejszym wymogiem, który użytkownicy powinni spełnić, tworząc swoje hasła, jest zakaz stosowania typowych haseł, aby ograniczyć podatność organizacji na brutalne ataki polegające na łamaniu haseł. Typowe hasła użytkowników to: abcdefg, hasło, małpa.

Edukowanie użytkowników, aby nie używać ponownie haseł organizacji nigdzie indziej

Jednym z najważniejszych komunikatów, które należy uzyskać dla użytkowników w organizacji, jest brak ponownego użycia hasła organizacji nigdzie indziej. Użycie haseł organizacji w zewnętrznych witrynach internetowych znacznie zwiększa prawdopodobieństwo naruszenia tych haseł przez cyberprzestępców.

Egzekwuj korzystanie z uwierzytelnienia wieloskładnikowego

Zadbaj o to, aby użytkownicy aktualizowali informacje kontaktowe i dotyczące bezpieczeństwa, takie jak alternatywny adres e-mail, numer telefonu lub urządzenie zarejestrowane na potrzeby powiadomień push. Dzięki temu będą mogli odpowiadać na komunikaty zabezpieczające i otrzymywać powiadomienia o zdarzeniach związanych z zabezpieczeniami. Aktualne dane kontaktowe i informacje dotyczące bezpieczeństwa ułatwiają użytkownikom zweryfikowanie ich tożsamości, jeżeli zdarzy im się zapomnieć hasło lub ktoś inny spróbuje przejąć ich konto. Udostępnia również kanał powiadomień poza pasmem dla zdarzeń zabezpieczeń, takich jak próby logowania lub zmienione hasła.

Aby dowiedzieć się więcej, przeczytaj artykuł Konfigurowanie uwierzytelniania wieloskładnikowego.

Włączanie uwierzytelniania wieloskładnikowego opartego na ryzyku

Uwierzytelnianie wieloskładnikowe oparte na ryzyku gwarantuje, że gdy nasz system wykryje podejrzane działania, może rzucić użytkownikowi wyzwanie, aby upewnić się, że jest on uprawnionym właścicielem konta.

Następne kroki

Chcesz dowiedzieć się więcej na temat zarządzania hasłami? Oto kilka zalecanych lektur:

• Zapomnij o hasłach, przejdź bez hasła

• Wskazówki dotyczące haseł firmy Microsoft

• Do Strong Web Passwords Accomplish Anything? (Czy silne hasła w sieci są skuteczne?)

• Password Portfolios and the Finite-Effort User (Portfolio haseł i użytkownik, który nie chce się przesadnie wysilać)

• Preventing Weak Passwords by Reading Users' Minds (Zapobieganie stosowaniu słabych haseł poprzez czytanie w myślach użytkowników)

• Choosing Secure Passwords (Wybór bezpiecznych haseł)

• Time to rethink mandatory password changes (Czas przemyśleć obowiązkowe zmiany haseł)

Zawartość pokrewna

Resetowanie haseł (artykuł)
Ustaw hasło pojedynczego użytkownika, aby nigdy nie wygasało (artykuł)
Zezwalaj użytkownikom na resetowanie własnych haseł (artykuł)
Ponowne zapisywanie hasła użytkownika — Administracja Pomoc (artykuł)