Eliminowanie złych haseł za pomocą ochrony przy użyciu haseł w usłudze Azure Active Directory

Wiele wskazówek dotyczących zabezpieczeń zaleca, aby nie używać tego samego hasła w wielu miejscach, aby było złożone i uniknąć prostych haseł, takich jak Password123. Możesz zapewnić swoim użytkownikom wskazówki dotyczące wybierania haseł, ale słabe lub niezabezpieczone hasła są często używane. Usługa Azure AD Password Protection wykrywa i blokuje znane słabe hasła oraz ich warianty, a także może blokować dodatkowe słabe terminy specyficzne dla twojej organizacji.

Dzięki usłudze Azure AD Password Protection domyślne globalne listy zakazanych haseł są automatycznie stosowane do wszystkich użytkowników w dzierżawie usługi Azure AD. Aby zapewnić obsługę własnych potrzeb biznesowych i bezpieczeństwa, można zdefiniować wpisy na niestandardowej liście zakazanych haseł. Gdy użytkownicy zmieniają lub resetują swoje hasła, te zakazane listy haseł są sprawdzane, aby wymusić użycie silnych haseł.

Należy użyć dodatkowych funkcji, takich jak Usługa Azure AD Multi-Factor Authentication, nie tylko polegać na silnych hasłach wymuszanych przez usługę Azure AD Password Protection. Aby uzyskać więcej informacji na temat korzystania z wielu warstw zabezpieczeń dla zdarzeń logowania, zobacz Twoje $word Pa$$word nie ma znaczenia.

Ważne

W tym artykule koncepcyjnym wyjaśniono administratorowi, jak działa usługa Azure AD Password Protection. Jeśli jesteś użytkownikiem końcowym, który został już zarejestrowany w celu samoobsługowego resetowania hasła i musisz wrócić do konta, przejdź do https://aka.ms/ssprstrony .

Jeśli twój zespół IT nie włączył możliwości resetowania własnego hasła, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Globalna lista zakazanych haseł

Zespół usługi Azure AD Identity Protection stale analizuje dane telemetryczne zabezpieczeń usługi Azure AD, wyszukując często używane słabe lub naruszone hasła. W szczególności analiza szuka podstawowych terminów, które często są używane jako podstawa słabych haseł. Po znalezieniu słabych terminów są one dodawane do globalnej listy zakazanych haseł. Zawartość globalnej listy zakazanych haseł nie jest oparta na żadnym zewnętrznym źródle danych, ale na wynikach telemetrii i analizy zabezpieczeń usługi Azure AD.

Gdy hasło zostanie zmienione lub zresetowane dla dowolnego użytkownika w dzierżawie usługi Azure AD, bieżąca wersja globalnej listy zakazanych haseł jest używana do weryfikowania siły hasła. To sprawdzanie poprawności powoduje silniejsze hasła dla wszystkich klientów usługi Azure AD.

Globalna lista zakazanych haseł jest automatycznie stosowana do wszystkich użytkowników w dzierżawie usługi Azure AD. Nie ma nic do włączenia ani skonfigurowania i nie można go wyłączyć. Ta globalna lista zakazanych haseł jest stosowana do użytkowników po zmianie lub zresetowaniu własnego hasła za pośrednictwem usługi Azure AD.

Uwaga

Cyberprzestępcy używają również podobnych strategii w swoich atakach, aby zidentyfikować typowe słabe hasła i odmiany. Aby zwiększyć bezpieczeństwo, firma Microsoft nie publikuje zawartości globalnej listy zakazanych haseł.

Niestandardowa lista zakazanych haseł

Niektóre organizacje chcą poprawić bezpieczeństwo i dodać własne dostosowania na liście globalnych zakazanych haseł. Aby dodać własne wpisy, możesz użyć niestandardowej listy zakazanych haseł. Terminy dodane do niestandardowej listy zakazanych haseł powinny być skoncentrowane na terminach specyficznych dla organizacji, takich jak następujące przykłady:

  • Marki
  • Nazwy produktów
  • Lokalizacje, takie jak siedziba firmy
  • Warunki wewnętrzne specyficzne dla firmy
  • Skróty, które mają określone znaczenie firmy

Po dodaniu terminów do niestandardowej listy zakazanych haseł są one łączone z terminami na globalnej liście zakazanych haseł. Zdarzenia zmiany lub resetowania hasła są następnie weryfikowane względem połączonego zestawu tych zakazanych list haseł.

Uwaga

Niestandardowa lista zakazanych haseł jest ograniczona do maksymalnie 1000 terminów. Nie jest przeznaczony do blokowania bardzo dużych list haseł.

Aby w pełni wykorzystać zalety niestandardowej listy zakazanych haseł, najpierw dowiedz się, jak są oceniane hasła przed dodaniem terminów do niestandardowej listy zakazanych. Takie podejście umożliwia efektywne wykrywanie i blokowanie dużej liczby słabych haseł i ich wariantów.

Modify the custom banned password list under Authentication Methods

Rozważmy klienta o nazwie Contoso. Firma jest z siedzibą w Londynie i tworzy produkt o nazwie Widget. W tym przykładzie klient byłby marnudny i mniej bezpieczny, aby spróbować zablokować określone odmiany tych terminów, takie jak następujące:

  • "Contoso!1"
  • "Contoso@London"
  • "ContosoWidget"
  • "! Contoso"
  • "LondonHQ"

Zamiast tego jest znacznie bardziej wydajne i bezpieczne, aby zablokować tylko kluczowe terminy podstawowe, takie jak następujące przykłady:

  • "Contoso"
  • "Londyn"
  • "Widżet"

Następnie algorytm sprawdzania poprawności hasła automatycznie blokuje słabe warianty i kombinacje.

Aby rozpocząć korzystanie z niestandardowej listy zakazanych haseł, wykonaj czynności opisane w następującym samouczku:

Ataki sprayowe haseł i listy haseł naruszone przez inne firmy

Usługa Azure AD Password Protection ułatwia ochronę przed atakami sprayowymi haseł. Większość ataków sprayowych haseł nie próbuje zaatakować żadnego pojedynczego konta więcej niż kilka razy. Takie zachowanie zwiększy prawdopodobieństwo wykrycia za pośrednictwem blokady konta lub innych środków.

Zamiast tego większość ataków sprayowych haseł przesyła tylko niewielką liczbę znanych najsłabszych haseł względem każdego konta w przedsiębiorstwie. Ta technika umożliwia atakującemu szybkie wyszukiwanie łatwo naruszonego konta i unikanie potencjalnych progów wykrywania.

Usługa Azure AD Password Protection skutecznie blokuje wszystkie znane słabe hasła, które mogą być używane w atakach sprayowych haseł. Ta ochrona jest oparta na rzeczywistych danych telemetrycznych zabezpieczeń z usługi Azure AD w celu utworzenia globalnej listy zakazanych haseł.

Istnieją witryny internetowe innych firm, które wyliczają miliony haseł, które zostały naruszone w poprzednich znanych publicznie naruszeniach zabezpieczeń. Często produkty weryfikacji haseł innych firm są oparte na porównaniach sił siłowych z tymi milionami haseł. Jednak te techniki nie są najlepszym sposobem na poprawę ogólnej siły hasła, biorąc pod uwagę typowe strategie używane przez osoby atakujące spray haseł.

Uwaga

Globalna lista zakazanych haseł nie jest oparta na żadnych źródłach danych innych firm, w tym na listach haseł, których bezpieczeństwo zostało naruszone.

Chociaż globalna lista zakazana jest niewielka w porównaniu z niektórymi listami zbiorczymi innych firm, jest ona pozyskiwana z rzeczywistych danych telemetrycznych zabezpieczeń na rzeczywiste ataki sprayowe haseł. Takie podejście zwiększa ogólną bezpieczeństwo i skuteczność, a algorytm walidacji haseł używa również inteligentnych technik dopasowywania rozmytego. W związku z tym usługa Azure AD Password Protection skutecznie wykrywa i blokuje miliony najczęściej używanych słabych haseł w przedsiębiorstwie.

Lokalne scenariusze hybrydowe

Wiele organizacji ma hybrydowy model tożsamości, który obejmuje lokalne środowiska usług Active Directory Domain Services (AD DS). Aby rozszerzyć zalety zabezpieczeń usługi Azure AD Password Protection do środowiska usług AD DS, możesz zainstalować składniki na serwerach lokalnych. Ci agenci wymagają zdarzeń zmiany hasła w lokalnym środowisku usług AD DS, aby były zgodne z tymi samymi zasadami haseł co w usłudze Azure AD.

Aby uzyskać więcej informacji, zobacz Wymuszanie ochrony haseł w usłudze Azure AD DS.

Jak są oceniane hasła

Gdy użytkownik zmieni lub zresetuje hasło, nowe hasło zostanie sprawdzone pod kątem siły i złożoności poprzez porównanie go z połączoną listą terminów z list globalnych i niestandardowych haseł zabronionych.

Nawet jeśli hasło użytkownika będzie w części zawierało hasło zabronione, może być zaakceptowane, jeśli będzie wystarczająco silne. Nowo skonfigurowane hasło przechodzi przez następujące kroki, aby ocenić ogólną siłę, aby określić, czy ma zostać zaakceptowana lub odrzucona:

Krok 1. Normalizacja

Nowe hasło najpierw przechodzi przez proces normalizacji. Ta technika umożliwia mapowanie na znacznie większy zestaw potencjalnie słabych haseł.

Normalizacja ma następujące dwie części:

  • Wszystkie wielkie litery są zmieniane na małe litery.

  • Następnie są wykonywane typowe podstawy znaków, takie jak w poniższym przykładzie:

    Oryginalna litera Litera podstawiona
    0 o
    1 l
    $ s
    @ a

Rozpatrzmy następujący przykład:

  • Hasło "puste" jest zakazane.
  • Użytkownik próbuje zmienić hasło na "Bl@nK".
  • Mimo że "Bl@nk" nie jest zakazany, proces normalizacji konwertuje to hasło na "puste".
  • To hasło zostanie odrzucone.

Krok 2. Sprawdzanie, czy hasło jest uznawane za zakazane

Następnie hasło jest badane pod kątem innych pasujących zachowań, a wynik jest generowany. Ten końcowy wynik określa, czy żądanie zmiany hasła zostało zaakceptowane lub odrzucone.

Zachowanie dopasowywania rozmytego

Dopasowywanie rozmyte jest używane na znormalizowanym haśle w celu określenia, czy zawiera hasło znalezione na listach globalnych lub niestandardowych zakazanych haseł. Proces dopasowywania jest oparty na odległości edycji jednego (1) porównania.

Rozpatrzmy następujący przykład:

  • Hasło "abcdef" jest zakazane.

  • Użytkownik próbuje zmienić swoje hasło na jedną z następujących czynności:

    • "abcdeg" — ostatni znak został zmieniony z "f" na "g"
    • "abcdefg" — "g" dołączone do końca
    • "abcde" — końcowy ciąg "f" został usunięty z końca
  • Każde z powyższych haseł nie jest specjalnie zgodne z zakazanym hasłem "abcdef".

    Jednak ponieważ każdy przykład znajduje się w odległości edycji od 1 zakazanego terminu "abcdef", wszystkie są traktowane jako dopasowanie do "abcdef".

  • Te hasła zostaną odrzucone.

Dopasowywanie podciągów (na określonych terminach)

Dopasowanie podciągów jest używane w znormalizowanym haśle, aby sprawdzić imię i nazwisko użytkownika, a także nazwę dzierżawy. Dopasowanie nazwy dzierżawy nie jest wykonywane podczas weryfikowania haseł na kontrolerze domeny usług AD DS w lokalnych scenariuszach hybrydowych.

Ważne

Dopasowanie podciągów jest wymuszane tylko dla nazw i innych terminów, które mają co najmniej cztery znaki.

Rozpatrzmy następujący przykład:

  • Użytkownik o nazwie Poll, który chce zresetować swoje hasło do "p0LL23fb".
  • Po normalizacji to hasło stanie się "poll23fb".
  • Dopasowanie podciągów stwierdza, że hasło zawiera imię użytkownika "Poll".
  • Mimo że "poll23fb" nie był specjalnie na liście zakazanych haseł, dopasowanie podciągów znalazło "Poll" w haśle.
  • To hasło zostanie odrzucone.

Obliczanie wyników

Następnym krokiem jest zidentyfikowanie wszystkich wystąpień zakazanych haseł w znormalizowanym nowym haśle użytkownika. Punkty są przypisywane na podstawie następujących kryteriów:

  1. Każde zakazane hasło znalezione w haśle użytkownika ma jeden punkt.
  2. Każdy pozostały znak, który nie jest częścią zakazanego hasła, otrzymuje jeden punkt.
  3. Hasło musi być akceptowane co najmniej pięć (5) punktów.

W dwóch następnych przykładowych scenariuszach firma Contoso korzysta z usługi Azure AD Password Protection i ma wartość "contoso" na niestandardowej liście zakazanych haseł. Załóżmy również, że "puste" znajduje się na liście globalnej.

W poniższym przykładowym scenariuszu użytkownik zmienia hasło na "C0ntos0Blank12":

  • Po normalizacji to hasło staje się "contosoblank12".

  • Proces dopasowywania stwierdza, że to hasło zawiera dwa zakazane hasła: "contoso" i "blank".

  • To hasło otrzymuje następnie następujący wynik:

    [contoso] + [puste] + [1] + [2] = 4 punkty

  • Ponieważ to hasło znajduje się poniżej pięciu (5) punktów, zostanie odrzucone.

Przyjrzyjmy się nieco innego przykładowi, aby pokazać, jak dodatkowa złożoność hasła może utworzyć wymaganą liczbę punktów do zaakceptowania. W poniższym przykładowym scenariuszu użytkownik zmieni hasło na "ContoS0Bl@nkf9!":

  • Po normalizacji to hasło staje się "contosoblankf9!".

  • Proces dopasowywania stwierdza, że to hasło zawiera dwa zakazane hasła: "contoso" i "blank".

  • To hasło otrzymuje następnie następujący wynik:

    [contoso] + [blank] + [f] + [9] + [!] = 5 punktów

  • Ponieważ to hasło jest co najmniej pięć (5) punktów, jest akceptowane.

Ważne

Zakazany algorytm haseł wraz z globalną listą zakazanych haseł może i może zmieniać się w dowolnym momencie na platformie Azure w oparciu o bieżącą analizę zabezpieczeń i badania.

W przypadku lokalnej usługi agenta kontrolera domeny w scenariuszach hybrydowych zaktualizowane algorytmy obowiązują tylko po uaktualnieniu oprogramowania agenta kontrolera domeny.

Co widzą użytkownicy

Gdy użytkownik próbuje zresetować lub zmienić hasło na coś, co zostanie zablokowane, zostanie wyświetlony jeden z następujących komunikatów o błędach:

"Niestety hasło zawiera słowo, frazę lub wzorzec, który sprawia, że hasło można łatwo odgadnąć. Spróbuj ponownie przy użyciu innego hasła".

"Widzieliśmy, że hasło zbyt wiele razy wcześniej. Wybierz coś trudniejszego do odgadnięcia."

"Wybierz hasło, które jest trudniejsze dla osób do odgadnięcia."

Wymagania licencyjne

Użytkownicy Ochrona haseł w usłudze Azure AD z globalną listą zakazanych haseł Ochrona haseł w usłudze Azure AD z niestandardową listą zakazanych haseł
Użytkownicy tylko w chmurze Usługa Azure AD — warstwa Bezpłatna Usługa Azure AD — wersja Premium P1 lub P2
Użytkownicy zsynchronizowani z lokalnych usług AD DS Usługa Azure AD — wersja Premium P1 lub P2 Usługa Azure AD — wersja Premium P1 lub P2

Uwaga

Lokalni użytkownicy usług AD DS, którzy nie są synchronizowani z usługą Azure AD, również korzystają z usługi Azure AD Password Protection w oparciu o istniejące licencjonowanie synchronizowanych użytkowników.

Dodatkowe informacje o licencjonowaniu, w tym koszty, można znaleźć w witrynie cennika usługi Azure Active Directory.

Następne kroki

Aby rozpocząć korzystanie z niestandardowej listy zakazanych haseł, wykonaj czynności opisane w następującym samouczku:

Następnie można włączyć lokalną ochronę haseł w usłudze Azure AD.