适用于 Microsoft 365 密码的密码策略建议

查看有关小型企业帮助和学习的所有小型企业内容。

作为组织的管理员，你负责为组织中的用户设置密码策略。 设置密码策略可能很复杂且令人困惑，因而本文提供了帮助组织更安全地抵御密码攻击的建议。

仅限 Microsoft 云的帐户具有无法更改的预定义密码策略。 唯一可以更改的项目是密码过期的天数，以及密码是否过期。

要决定 Microsoft 365 密码在你组织中过期的频率，请参阅设置 Microsoft 365 的密码过期策略。

有关 Microsoft 365 密码的详细信息，请参阅：

重置密码（文章）

将个人用户密码设置为永不过期（文章）

允许用户重置自己的密码（文章）

重新发送用户的密码 (文章)

重新考虑强制密码更改的时间。

了解密码建议

好的密码实践分为下面几个大类：

• 抵御常见攻击：这涉及到选择用户在何处输入密码（具有优秀的恶意软件检测的已知受信任设备，经过验证的网站），以及选择要选用哪个密码（密码长度和唯一性）。

• 包含成功攻击：包含成功黑客攻击是指限制为仅向特定服务公开，或者在用户密码被盗的情况下完全阻止该项损失。 例如，确保社交网络凭据的泄露不会导致你的银行帐户易受攻击，也不会使防护较弱的帐户接受重要帐户的重置链接。

• 了解人的天性：很多有效的密码实践都在面对自然的人类行为时失败。 理解人性至关重要，因为研究表明，你对用户施加的每个规则都会导致密码质量的削弱。 长度要求、特殊字符要求和密码更改要求都会促使密码的标准化，而这会使攻击者更容易猜出或破解出密码。

管理员密码准则

加强密码系统安全的首要目标是密码多样性。 你需要你的密码策略包含多个不同且很难猜出的密码。 下面是可帮助你的组织尽可能保障安全的一些建议。

• 保持 8 个字符的最小长度要求

• 不设定字符构成要求。 例如，*& (^%$

• 不要求定期对用户帐户进行强制性重置

• 禁用常见密码，使系统内部不存在易受攻击的密码

• 教育用户不要出于非工作相关目的重复使用其组织密码

• 强制注册使用多重身份验证

• 启用基于风险的多重身份验证质询

用户密码准则

下面是针对组织内部用户的一些密码准则。 请确保使你的用户了解这些建议并在组织级别上强制实施所建议的密码策略。

• 不要使用你在任何其他网站上所用的相同或相似密码

• 不要使用单个字词（例如 password）或常用短语（例如 Iloveyou）

• 使密码难以猜到，即使是对你非常了解的人，例如你的朋友和家人的姓名和生日、你最喜欢的乐队以及你喜欢使用的短语

一些常见方法及其负面影响

它们是最常用的密码管理做法之一，但研究警告我们其负面影响。

用户密码过期要求

密码过期要求弊大于利，因为它们使用户选择可预测的密码，由彼此密切相关的连续字词和数字组成。 在这类情况下，可能会根据上一个密码预测出下一个密码。 密码过期要求没有提供任何控制优势，因为网络罪犯几乎始终在盗用凭据后立即使用这些凭据。

最小密码长度要求

为了鼓励用户考虑唯一密码，我们建议保持合理的八字符最小长度要求。

需要使用多字符集

密码复杂性要求会缩减密钥空间，导致用户以可预测的方式行动，因此弊大于利。 大多数系统都会强制实施一定程度的密码复杂性要求。 例如，密码需要使用来自下面所有三个类别的字符：

• 大写字符

• 小写字符

• 非字母数字字符

大多数人使用类似的模式。 例如，第一个位置是大写字母，最后一个是符号，最后 2 个是数字。 网络罪犯知道这些模式，因此他们使用最常见的替代项（“$”表示“s”、“@”表示“a”、“1”表示“l”）来运行字典攻击。 强制用户选择大写、大小、数字、特殊字符的组合会产生负面影响。 某些复杂性要求甚至会阻止用户使用安全易记的密码，并迫使他们采用安全性更低、更难记住的密码。

成功的模式

相比之下，下面是鼓励密码多样性的一些建议。

禁用常见密码

创建密码时，应对用户采用的最重要的密码要求是禁用常见密码，以使你的组织更不容易受到蛮力密码攻击。 常见用户密码包括：abdcefg、password 和 monkey。

指导用户不要在任何其他位置重复使用组织密码

要传达给组织内部用户的最重要的消息之一是不要在任何其他位置重复使用其组织密码。 在外部网站中使用组织密码大大增加了网络罪犯泄露这些密码的可能性。

强制进行多重身份验证注册

请确保你的用户更新联系人和安全信息，例如备用电子邮件地址、电话号码或注册接收推送通知的设备，以便他们能够应对安全挑战并收到安全事件通知。 更新后的联系人和安全信息可帮助用户在忘记自身密码时或者其他人试图接管其帐户时验证他们的身份。 它还为安全事件（例如登录尝试或更改的密码）提供带外通知通道。

要了解详细信息，请参阅设置多重身份验证

启用基于风险的多重身份验证

基于风险的多重身份验证可确保当系统检测到可疑活动时，它可以质询用户，以确保他们是合法的帐户所有者。

后续步骤

希望了解有关管理密码的详细信息？ 下面是一些推荐的阅读内容：

• 忘记密码，无密码

• Microsoft 密码指南

• Do Strong Web Passwords Accomplish Anything?（强大的 Web 密码是否有用？）

• Password Portfolios and the Finite-Effort User（密码组合和有限努力的用户）

• Preventing Weak Passwords by Reading Users' Minds（通过阅读用户的思维来阻止安全性较弱的密码）

• Choosing Secure Passwords（选择安全的密码）

• Time to rethink mandatory password changes（是时候重新思考强制密码更改了）

相关内容

重置密码（文章）
将个人用户密码设置为永不过期（文章）
允许用户重置自己的密码（文章）
重新发送用户密码 - 管理员帮助（文章）