Dela via


Rekommendationer om lösenordsprinciper för Microsoft 365 lösenord

Ta en titt på allt innehåll för småföretag på small business-hjälp och utbildning.

Som administratör för en organisation ansvarar du för att ange lösenordsprincipen för användare i din organisation. Det kan vara komplicerat och förvirrande att ange lösenordsprincipen, och den här artikeln innehåller rekommendationer för att göra organisationen säkrare mot lösenordsattacker.

Microsofts molnbaserade konton har en fördefinierad lösenordsprincip som inte kan ändras. De enda objekt du kan ändra är antalet dagar tills ett lösenord upphör att gälla, samt om lösenord ska upphöra att gälla över huvud taget.

Information om hur du anger hur ofta Microsoft 365-lösenord ska upphöra att gälla i organisationen finns i Ange förfalloprincip för lösenord för Microsoft 365.

För mer information om Microsoft 365-lösenord se:

Återställ lösenord (artikel)

Ange att en enskild användares lösenord aldrig ska förfalla(artikel)

Låt användare återställa sina egna lösenord (artikel)

Skicka om en användares lösenord (artikel)

Dags att ompröva obligatoriska lösenordsändringar.

Förstå rekommendationer om lösenord

Bra metoder för lösenord delas in i några breda kategorier:

  • Motarbeta vanliga attacker Här ingår valet av var användarna kan ange lösenord (kända och betrodda enheter med bra identifiering av skadlig kod, verifierade webbplatser) och valet av vilka lösenord de kan välja (längd och unikhet).

  • Begränsa lyckade attacker Att begränsa lyckade hackarattacker handlar om att begränsa exponering till en viss tjänst, eller förhindra skadan helt och hållet, om en användares lösenord stjäls. Till exempel att se till att ett avslöjande av din inloggningsinformation för sociala nätverk inte gör ditt bankkonto sårbart, eller att se till att ett konto med svagt skydd inte tar emot återställningslänkar för ett viktigt konto.

  • Förstå människans natur Många giltiga lösenordsmetoder misslyckas på grund av naturliga mänskliga beteenden. Det är viktigt att förstå människans natur eftersom forskning visar att nästan alla regler som du tillämpar på dina användare leder till en försvagning av lösenordskvaliteten. Krav gällande längd, specialtecken och lösenordsändring leder till normalisering av lösenord, vilket gör det enklare för attackerare att gissa eller knäcka lösenord.

Riktlinjer om lösenord för administratörer

Det primära målet med ett säkrare lösenordssystem är lösenordsvariation. Lösenordsprincipen bör innehålla många olika och svårgissade lösenord. Här är några rekommendationer för att skydda organisationen.

  • Upprätthålla ett krav på minimilängd på fjorton tecken

  • Ha inte krav på teckensammansättning. Till exempel *&(^%$

  • Kräv inte regelbundna lösenordsåterställningar för användarkonton

  • Förbjud vanliga lösenord, för att undvika de mest sårbara lösenorden i systemet

  • Utbilda användarna att inte återanvända sina organisationslösenord för icke-arbetsrelaterade ändamål

  • Tillämpa registrering för multifaktorautentisering

  • Aktivera riskbaserade utmaningar med multifaktorautentisering

Hjälp om lösenord för användare

Här är lite hjälp om lösenord för användarna i organisationen. Se till att informera användarna om de här rekommendationerna och tillämpa rekommenderade lösenordsprinciper på organisationsnivå.

  • Använd inte ett lösenord som är samma som eller liknar ett du använder på andra webbplatser

  • Använd inte ett enda ord, till exempel lösenord, eller en vanlig fras som jagälsaryou

  • Gör lösenord svåra att gissa, även av personer som vet mycket om dig, till exempel namn och födelsedagar för dina vänner och familj, dina favoritband och fraser som du gillar att använda

Några vanliga metoder och deras negativa följder

De är några av de vanligaste metoderna för lösenordshantering, men forskning varnar oss om deras negativa effekter.

Krav på giltighetstid för lösenord för användare

Förfallokraven för lösenord gör mer skada än nytta, eftersom de gör att användarna väljer förutsägbara lösenord, som består av sekventiella ord och siffror som är nära relaterade till varandra. I sådana fall kan nästa lösenord förutsägas utifrån föregående lösenord. Krav på giltighetstid för lösenord ger inga inneslutningsfördelar eftersom nätkriminella nästan alltid använder autentiseringsuppgifter så fort de får dem.

Krav på minsta längd på lösenord

För att uppmuntra användare att tänka på ett unikt lösenord rekommenderar vi att du behåller ett rimligt krav på minsta längd på åtta tecken.

Krav på användning av flera teckenuppsättningar

Krav på lösenordskomplexitet minskar nyckelutrymmet och leder till förutsägbart användarbeteende, vilket gör mer skada än nytta. I de flesta system tillämpas någon nivå av krav på lösenordskomplexitet. Till exempel måste lösenord innehålla tecken från samtliga av följande tre kategorier:

  • versaler

  • gemener

  • icke-alfanumeriska tecken

De flesta använder liknande mönster. Till exempel en versal bokstav i den första positionen, en symbol i den sista och ett tal i den sista 2. Cyberbrottslingar är medvetna om sådana mönster, så de kör sina ordlisteattacker med hjälp av de vanligaste ersättningarna, "$" för "s", "@" för "a", "1" för "l". Att tvinga användare att välja en kombination av versaler, gemener, siffror och specialtecken har en negativ effekt. Vissa komplexitetskrav hindrar till och med användare från att använda säkra lösenord som de kommer ihåg, och tvingar dem att komma på mindre säkra lösenord som är svårare att komma ihåg.

Lyckade mönster

Här finns däremot några rekommendationer om hur du uppmuntrar lösenordsvariation.

Förbjud vanliga lösenord

Det viktigaste lösenordskravet du bör tillämpa när användarna skapar lösenord är att förbjuda användning av vanliga lösenord för att minska organisationens känslighet för råstyrkeattacker. Vanliga användarlösenord är: abcdefg, password, monkey.

Utbilda användare så att de inte återanvänder organisationslösenord någon annanstans

Ett av de viktigaste budskapen att få fram till organisationens användare är att de inte ska återanvända sitt organisationslösenord någon annanstans. Användningen av organisationslösenord på externa webbplatser ökar kraftigt sannolikheten för att cyberbrottslingar kan kompromettera dessa lösenord.

Tillämpa registrering för multifaktorautentisering

Se till att användarna uppdaterar kontakt- och säkerhetsinformation, till exempel en alternativ e-postadress, telefonnummer eller en enhet som är registrerad för push-meddelanden, så att de kan svara på säkerhetskontroller och meddelas om säkerhetshändelser. Uppdaterad kontakt- och säkerhetsinformation hjälper användarna att bekräfta sin identitet om de någonsin glömmer sitt lösenord eller om någon annan försöker ta över deras konto. Den innehåller också en meddelandekanal för out-of-band för säkerhetshändelser, till exempel inloggningsförsök eller ändrade lösenord.

Mer information finns i Konfigurera multifaktorautentisering.

Aktivera riskbaserad multifaktorautentisering

Riskbaserad multifaktorautentisering säkerställer att när vårt system identifierar misstänkt aktivitet kan det uppmana användaren att se till att de är den legitima kontoägaren.

Nästa steg

Vill du veta mer om hur du hanterar lösenord? Här är några rekommenderade läsningar:

Återställ lösenord (artikel)
Ange att en enskild användares lösenord aldrig ska förfalla(artikel)
Låt användare återställa sina egna lösenord (artikel)
Skicka om en användares lösenord – hjälp för administratörer (artikel)