Eliminowanie nieprawidłowych haseł przy użyciu ochrony haseł Microsoft Entra
Wiele wskazówek dotyczących zabezpieczeń zaleca, aby nie używać tego samego hasła w wielu miejscach, aby było to złożone, i aby uniknąć prostych haseł, takich jak Password123. Możesz udostępnić swoim użytkownikom wskazówki dotyczące wybierania haseł, ale słabe lub niezabezpieczone hasła są często używane. Microsoft Entra ochrona haseł wykrywa i blokuje znane słabe hasła oraz ich warianty, a także może blokować dodatkowe słabe terminy specyficzne dla twojej organizacji.
W przypadku ochrony haseł Microsoft Entra domyślne globalne listy zakazanych haseł są automatycznie stosowane do wszystkich użytkowników w dzierżawie Microsoft Entra. Aby zapewnić obsługę własnych potrzeb biznesowych i bezpieczeństwa, możesz zdefiniować wpisy na niestandardowej liście zakazanych haseł. Gdy użytkownicy zmieniają lub resetują swoje hasła, te listy zakazanych haseł są sprawdzane w celu wymuszenia używania silnych haseł.
Należy użyć dodatkowych funkcji, takich jak Microsoft Entra uwierzytelnianie wieloskładnikowe, nie tylko polegać na silnych hasłach wymuszanych przez ochronę haseł Microsoft Entra. Aby uzyskać więcej informacji na temat używania wielu warstw zabezpieczeń dla zdarzeń logowania, zobacz Your Pa$$word nie ma znaczenia.
Ważne
W tym artykule koncepcyjnym wyjaśniono administratorowi, jak działa Microsoft Entra ochrona haseł. Jeśli jesteś użytkownikiem końcowym, który jest już zarejestrowany na potrzeby samoobsługowego resetowania hasła i musisz wrócić do swojego konta, przejdź do strony https://aka.ms/sspr.
Jeśli Twój zespół IT nie włączył możliwości resetowania własnego hasła, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.
Globalna lista zakazanych haseł
Zespół Ochrona tożsamości Microsoft Entra stale analizuje Microsoft Entra dane telemetryczne zabezpieczeń, które szukają często używanych słabych lub naruszonych haseł. W szczególności analiza szuka podstawowych terminów, które często są używane jako podstawa słabych haseł. Po znalezieniu słabych terminów są one dodawane do globalnej listy zakazanych haseł. Zawartość globalnej listy zakazanych haseł nie jest oparta na żadnym zewnętrznym źródle danych, ale na wynikach Microsoft Entra telemetrii i analizy zabezpieczeń.
Gdy hasło zostanie zmienione lub zresetowane dla dowolnego użytkownika w dzierżawie Microsoft Entra, bieżąca wersja globalnej listy zakazanych haseł jest używana do weryfikowania siły hasła. Ten sprawdzanie poprawności powoduje silniejsze hasła dla wszystkich klientów Microsoft Entra.
Globalna lista zakazanych haseł jest automatycznie stosowana do wszystkich użytkowników w dzierżawie Microsoft Entra. Nie ma nic do włączenia lub skonfigurowania i nie można go wyłączyć. Ta globalna lista zakazanych haseł jest stosowana do użytkowników po zmianie lub zresetowaniu własnego hasła za pomocą identyfikatora Microsoft Entra.
Uwaga
Cyberprzestępcy używają również podobnych strategii w swoich atakach, aby zidentyfikować typowe słabe hasła i odmiany. Aby zwiększyć bezpieczeństwo, firma Microsoft nie publikuje zawartości globalnej listy zakazanych haseł.
Niestandardowa lista zakazanych haseł
Niektóre organizacje chcą poprawić bezpieczeństwo i dodać własne dostosowania na liście globalnych zakazanych haseł. Aby dodać własne wpisy, możesz użyć niestandardowej listy zakazanych haseł. Terminy dodane do niestandardowej listy zakazanych haseł powinny być skoncentrowane na terminach specyficznych dla organizacji, takich jak następujące przykłady:
- Marki
- Nazwy produktów
- Lokalizacje, takie jak siedziba firmy
- Wewnętrzne warunki specyficzne dla firmy
- Skróty, które mają określone znaczenie firmy
Gdy terminy są dodawane do niestandardowej listy zakazanych haseł, są one łączone z terminami na globalnej liście zakazanych haseł. Zdarzenia zmiany lub resetowania hasła są następnie weryfikowane względem połączonego zestawu tych zakazanych list haseł.
Uwaga
Lista niestandardowych zakazanych haseł jest ograniczona do maksymalnie 1000 terminów. Nie jest przeznaczony do blokowania bardzo dużych list haseł.
Aby w pełni wykorzystać zalety niestandardowej listy zakazanych haseł, najpierw dowiedz się, jak są oceniane hasła przed dodaniem terminów do niestandardowej listy zakazanych. Takie podejście umożliwia efektywne wykrywanie i blokowanie dużej liczby słabych haseł i ich wariantów.
Rozważmy klienta o nazwie Contoso. Firma ma siedzibę w Londynie i tworzy produkt o nazwie Widget. W tym przykładzie klient byłby marudny i mniej bezpieczny, aby spróbować zablokować określone odmiany tych terminów, takie jak następujące:
- "Contoso!1"
- "Contoso@London"
- "ContosoWidget"
- "! Contoso"
- "LondonHQ"
Zamiast tego znacznie wydajniejsze i bezpieczne jest blokowanie tylko kluczowych terminów podstawowych, takich jak następujące przykłady:
- "Contoso"
- "Londyn"
- "Widget"
Algorytm sprawdzania poprawności hasła automatycznie blokuje słabe warianty i kombinacje.
Aby rozpocząć korzystanie z niestandardowej listy zakazanych haseł, wykonaj czynności opisane w następującym samouczku:
Ataki w sprayu haseł i listy haseł naruszone przez inne firmy
Microsoft Entra ochrona hasłem pomaga chronić przed atakami spryskiwającym hasła. Większość ataków rozpychanych haseł nie próbuje zaatakować żadnego pojedynczego konta więcej niż kilka razy. To zachowanie zwiększa prawdopodobieństwo wykrycia za pośrednictwem blokady konta lub innych środków.
Zamiast tego większość ataków sprayowych haseł przesyła tylko niewielką liczbę znanych najsłabszych haseł względem każdego konta w przedsiębiorstwie. Ta technika pozwala atakującemu szybko wyszukiwać łatwo naruszone konto i unikać potencjalnych progów wykrywania.
Microsoft Entra ochrona haseł skutecznie blokuje wszystkie znane słabe hasła, które mogą być używane w atakach rozpraszanych hasłem. Ta ochrona opiera się na rzeczywistych danych telemetrycznych zabezpieczeń z identyfikatora Microsoft Entra w celu utworzenia globalnej listy zakazanych haseł.
Istnieją witryny internetowe innych firm, które wyliczają miliony haseł, które zostały naruszone w poprzednich znanych publicznie naruszeniach zabezpieczeń. Produkty do sprawdzania poprawności haseł innych firm często opierają się na porównaniach siłowych z tymi milionami haseł. Jednak te techniki nie są najlepszym sposobem poprawy ogólnej siły hasła, biorąc pod uwagę typowe strategie stosowane przez osoby atakujące w zakresie sprayu haseł.
Uwaga
Globalna lista zakazanych haseł nie jest oparta na żadnych źródłach danych innych firm, w tym na listach haseł, których bezpieczeństwo zostało naruszone.
Chociaż globalna lista zakazanych jest niewielka w porównaniu z niektórymi listami zbiorczymi innych firm, pochodzi ona z rzeczywistych danych telemetrycznych zabezpieczeń dotyczących rzeczywistych ataków sprayu haseł. Takie podejście zwiększa ogólną bezpieczeństwo i skuteczność, a algorytm sprawdzania poprawności haseł używa również inteligentnych technik dopasowywania rozmytego. W związku z tym Microsoft Entra ochrona haseł skutecznie wykrywa i blokuje miliony najczęściej używanych słabych haseł w przedsiębiorstwie.
Scenariusze hybrydowe środowiska lokalnego
Wiele organizacji ma hybrydowy model tożsamości, który obejmuje środowiska usług lokalna usługa Active Directory Domain Services (AD DS). Aby rozszerzyć korzyści zabezpieczeń Microsoft Entra ochrony haseł w środowisku usług AD DS, można zainstalować składniki na serwerach lokalnych. Ci agenci wymagają zdarzeń zmiany hasła w lokalnym środowisku usług AD DS, aby były zgodne z tymi samymi zasadami haseł co w Microsoft Entra id.
Aby uzyskać więcej informacji, zobacz Wymuszanie ochrony haseł Microsoft Entra dla usług AD DS.
Jak są oceniane hasła
Gdy użytkownik zmieni lub zresetuje hasło, nowe hasło zostanie sprawdzone pod kątem siły i złożoności poprzez porównanie go z połączoną listą terminów z list globalnych i niestandardowych haseł zabronionych.
Nawet jeśli hasło użytkownika będzie w części zawierało hasło zabronione, może być zaakceptowane, jeśli będzie wystarczająco silne. Nowo skonfigurowane hasło przechodzi przez następujące kroki, aby ocenić ogólną siłę, aby określić, czy powinno zostać zaakceptowane, czy odrzucone:
Krok 1. Normalizacja
Nowe hasło najpierw przechodzi przez proces normalizacji. Ta technika pozwala zamapować niewielki zestaw zakazanych haseł na znacznie większy zestaw potencjalnie słabych haseł.
Normalizacja ma następujące dwie części:
Wszystkie wielkie litery są zmieniane na małe litery.
Następnie wykonywane są podstawianie typowych znaków, na przykład w poniższym przykładzie:
Oryginalna litera Litera podstawiona 0 o 1 l $ s @ a
Rozpatrzmy następujący przykład:
- Hasło "puste" jest zakazane.
- Użytkownik próbuje zmienić hasło na "Bl@nK".
- Mimo że "Bl@nk" nie jest zakazany, proces normalizacji konwertuje to hasło na "puste".
- To hasło zostanie odrzucone.
Krok 2. Sprawdzanie, czy hasło jest uznawane za zakazane
Hasło jest następnie badane pod kątem innych pasujących zachowań, a wynik jest generowany. Ten końcowy wynik określa, czy żądanie zmiany hasła zostało zaakceptowane lub odrzucone.
Zachowanie dopasowywania rozmytego
Dopasowywanie rozmyte jest używane na znormalizowanym haśle w celu określenia, czy zawiera hasło znalezione na listach globalnych lub niestandardowych zakazanych haseł. Proces dopasowywania jest oparty na odległości edycji jednego (1) porównania.
Rozpatrzmy następujący przykład:
Hasło "abcdef" jest zakazane.
Użytkownik próbuje zmienić swoje hasło na jedną z następujących czynności:
- "abcdeg" — ostatni znak został zmieniony z "f" na "g"
- "abcdefg" — "g" dołączone do końca
- "abcde" — końcowy ciąg "f" został usunięty z końca
Każde z powyższych haseł nie jest specjalnie zgodne z zakazanym hasłem "abcdef".
Jednak ponieważ każdy przykład znajduje się w odległości edycji od 1 zakazanego terminu "abcdef", wszystkie są uważane za dopasowanie do "abcdef".
Te hasła zostaną odrzucone.
Dopasowywanie podciągów (na określonych terminach)
Dopasowanie podciągów jest używane w znormalizowanym haśle, aby sprawdzić imię i nazwisko użytkownika, a także nazwę dzierżawy. Dopasowanie nazwy dzierżawy nie jest wykonywane podczas weryfikowania haseł na kontrolerze domeny usług AD DS w lokalnych scenariuszach hybrydowych.
Ważne
Dopasowanie podciągów jest wymuszane tylko dla nazw i innych terminów, które mają co najmniej cztery znaki.
Rozpatrzmy następujący przykład:
- Użytkownik o nazwie Poll, który chce zresetować swoje hasło do "p0LL23fb".
- Po normalizacji to hasło stanie się "poll23fb".
- Dopasowanie podciągów stwierdza, że hasło zawiera imię użytkownika "Poll".
- Mimo że "poll23fb" nie był specjalnie na liście zakazanych haseł, dopasowanie podciągów znalazło "Poll" w haśle.
- To hasło zostanie odrzucone.
Obliczanie oceny
Następnym krokiem jest zidentyfikowanie wszystkich wystąpień zakazanych haseł w znormalizowanym nowym haśle użytkownika. Punkty są przypisywane na podstawie następujących kryteriów:
- Każde zakazane hasło znalezione w haśle użytkownika ma jeden punkt.
- Każdy pozostały znak, który nie jest częścią zakazanego hasła, otrzymuje jeden punkt.
- Hasło musi być akceptowane co najmniej pięć (5) punktów.
W dwóch następnych przykładowych scenariuszach firma Contoso używa Microsoft Entra ochrony haseł i ma "contoso" na niestandardowej liście zakazanych haseł. Załóżmy również, że "puste" znajduje się na liście globalnej.
W poniższym przykładowym scenariuszu użytkownik zmienia hasło na "C0ntos0Blank12":
Po normalizacji to hasło staje się "contosoblank12".
Proces dopasowywania stwierdza, że to hasło zawiera dwa zakazane hasła: "contoso" i "blank".
To hasło otrzymuje następnie następujący wynik:
[contoso] + [puste] + [1] + [2] = 4 punkty
Ponieważ to hasło znajduje się poniżej pięciu (5) punktów, zostanie odrzucone.
Przyjrzyjmy się nieco innego przykładowi, aby pokazać, jak dodatkowa złożoność hasła może utworzyć wymaganą liczbę punktów do zaakceptowania. W poniższym przykładowym scenariuszu użytkownik zmieni hasło na "ContoS0Bl@nkf9!":
Po normalizacji to hasło staje się "contosoblankf9!".
Proces dopasowywania stwierdza, że to hasło zawiera dwa zakazane hasła: "contoso" i "blank".
To hasło otrzymuje następnie następujący wynik:
[contoso] + [blank] + [f] + [9] + [!] = 5 punktów
Ponieważ to hasło jest co najmniej pięć (5) punktów, jest akceptowane.
Ważne
Zakazany algorytm haseł wraz z globalną listą zakazanych haseł może i może zmieniać się w dowolnym momencie na platformie Azure w oparciu o bieżącą analizę zabezpieczeń i badania.
W przypadku lokalnej usługi agenta kontrolera domeny w scenariuszach hybrydowych zaktualizowane algorytmy obowiązują tylko po uaktualnieniu oprogramowania agenta kontrolera domeny.
Co widzą użytkownicy
Gdy użytkownik próbuje zresetować lub zmienić hasło na coś, co zostanie zablokowane, zostanie wyświetlony jeden z następujących komunikatów o błędach:
"Niestety hasło zawiera słowo, frazę lub wzorzec, który sprawia, że hasło można łatwo odgadnąć. Spróbuj ponownie przy użyciu innego hasła".
"Widzieliśmy, że hasło zbyt wiele razy wcześniej. Wybierz coś trudniejszego do odgadnięcia."
"Wybierz hasło, które jest trudniejsze dla osób do odgadnięcia."
Wymagania licencyjne
| Użytkownicy | Microsoft Entra ochrona haseł z globalną listą zakazanych haseł | Microsoft Entra ochrona haseł z niestandardową listą zakazanych haseł |
|---|---|---|
| Użytkownicy tylko w chmurze | Microsoft Entra identyfikator bezpłatnie | Microsoft Entra identyfikator P1 lub P2 |
| Użytkownicy zsynchronizowani z lokalnych usług AD DS | Microsoft Entra identyfikator P1 lub P2 | Microsoft Entra identyfikator P1 lub P2 |
Uwaga
Lokalni użytkownicy usług AD DS, którzy nie są zsynchronizowani z identyfikatorem Microsoft Entra również korzystają z Microsoft Entra ochrony haseł w oparciu o istniejące licencjonowanie dla zsynchronizowanych użytkowników.
Dodatkowe informacje o licencjonowaniu, w tym koszty, można znaleźć w witrynie cenowej Microsoft Entra.
Następne kroki
Aby rozpocząć korzystanie z niestandardowej listy zakazanych haseł, wykonaj czynności opisane w następującym samouczku:
Następnie można włączyć lokalną ochronę haseł Microsoft Entra.