Microsoft 365 密碼的密碼原則建議

身為組織的系統管理員,您必須為貴組織中的使用者設定密碼原則。 設定密碼原則相當複雜且令人困惑,因此本文提供加強貴組織對密碼攻擊的防護的建議。

Microsoft 僅限雲端帳戶具有無法變更的預先定義密碼原則。 您可以變更的唯一項目是密碼到期前的天數,以及密碼是否永不到期。

若要判斷貴組織中的 Microsoft 365 密碼到期頻率,請參閱設定 Microsoft 365 的密碼到期原則

如需有關 Microsoft 365 密碼的詳細資訊,請參閱:

重設密碼 (文章)

設定個別使用者的密碼永不過期 (文章)

讓使用者重設自己的密碼 (文章)

重新傳送使用者的密碼 - 系統管理說明 (文章)

重新思考強制密碼變更的時間

了解密碼建議

良好的密碼實踐分為幾大類:

  • 抵禦常見攻擊:這涉及選擇讓使用者在何處輸入密碼 (具有良好惡意程式碼偵測的已知和信任的裝置、經過驗證的網站),以及選擇要選用哪個密碼 (長度和唯一性)。

  • 包含成功的攻擊:包含成功駭客攻擊是指限制僅向特定服務公開,或在使用者密碼遭竊的情況下完全防止該損失。 例如,確保社交網路認證外洩不會導致銀行帳戶易受攻擊,也不會讓防護較弱的帳戶接受重要帳戶的重設連結。

  • 了解人的天性:許多有效的密碼實踐都在面對自然的人類行為時失敗。 了解人的天性至關重要,因為研究結果顯示,幾乎每條強加於使用者的規則都會導致密碼品質降低。 長度要求、特殊字元要求和密碼變更要求都會導致密碼標準化,讓攻擊者更容易猜測或破解密碼。

系統管理員的密碼指導方針

加強密碼系統安全的主要目標是密碼多樣性。 您希望密碼原則包含許多不同且難以猜測的密碼。 以下是一些讓貴組織盡可能安全的建議。

  • 維持 14 個字元的最小長度需求

  • 不設定字元構成要求。 例如, * & (^%$

  • 不要求使用者帳戶定期重設密碼

  • 禁止常見密碼,使系統中不存在容易受到攻擊的密碼

  • 教育使用者不要將其組織密碼重複用於與工作無關的用途

  • 強制註冊多重要素驗證

  • 克服以風險為根據的多重要素驗證挑戰

使用者密碼指導方針

以下是提供貴組織使用者的一些密碼指導方針。 請務必讓您的使用者了解這些建議,並在組織層級強制執行建議的密碼原則。

  • 請勿使用在任何其他網站上所使用的相同或相似密碼

  • 請勿只用一個單字,例如 password,也不要使用常用片語,例如 Iloveyou

  • 使密碼變得難以猜測,讓即使熟悉您的人也難以猜測,例如,不要使用朋友和家人的姓名和生日、喜歡的樂團,以及您喜歡使用的語句

一些常見做法及其負面影響

以下是一些最常使用的密碼管理做法,但是研究結果警告我們注意這些做法的負面影響。

使用者密碼到期要求

密碼到期要求弊大於利,因為這些要求會讓使用者選擇可預測的密碼,即由彼此密切相關的連續字詞和數字組成的密碼。 在這些情況下,下一個密碼可根據先前的密碼來預測。 密碼到期要求不會提供任何控制優勢,因為網路罪犯總會在盜取憑證後立即使用憑證。

密碼長度下限需求

若要鼓勵使用者考慮唯一密碼,建議您保留合理的 14 個字元最小長度需求。

要求使用多個字元集

密碼複雜性要求會縮減金鑰空間,並讓使用者以可預測的方式行動,因此弊大於利。 大多數系統都會強制實施一定程度的密碼複雜性要求。 例如,密碼需要使用下列所有三種類別的字元:

  • 大寫字元

  • 小寫字元

  • 非英數字元

大多數使用者都會使用類似的模式,例如,第一個位置使用大寫字母、最後一位使用符號,倒數第 2 位使用數字。 網路罪犯知道這一點,因此他們在執行字典攻擊時會使用最常見的替換,例如:$ 替換為 s、@ 替換為 a,1 替換為 l。 強制使用者選擇大寫、小寫、數字、特殊字元的組合會造成負面影響。 有些複雜性要求甚至會妨礙使用者使用安全易記的密碼,並迫使他們採用安全性較低且更難記住的密碼。

成功的模式

相比之下,以下是鼓勵密碼多樣性的一些建議。

禁用常見密碼

建立密碼時,您應對使用者提出的最重要的密碼要求是禁用常見密碼,使貴組織更不容易受到暴力密碼破解攻擊。 常見的使用者密碼包括:abcdefgpasswordmonkey

教育使用者不要在其他位置重複使用組織密碼

要傳達給組織內部使用者的最重要訊息之一是不要在任何其他位置重複使用其組織密碼。 在外部網站使用組織密碼會大幅增加網路罪犯盜用這些密碼的可能性。

強制執行多重要素驗證註冊

請確保您的使用者更新連絡人和安全性資訊,例如備用電子郵件地址、電話號碼或註冊接收推播通知的裝置,以便讓使用者應對安全性挑戰及收到安全性事件通知。 更新的連絡人和安全性資訊可協助使用者在忘記密碼時或其他人嘗試接管其帳戶時驗證他們的身分。 並在登入嘗試或變更密碼等安全性事件的情況下提供頻外通知頻道。

若要深入瞭解,請參閱設定多重要素驗證

啟用以風險為根據的多重要素驗證

以風險為根據的多重要素驗證可確保系統偵測到可疑活動時,能迫使使用者確保其為合法帳戶擁有者。

後續步驟

想要了解有關管理密碼的更多資訊嗎? 以下是一些建議閱讀:

重設密碼 (文章)
設定個別使用者的密碼永不過期 (文章)
讓使用者重設自己的密碼 (文章)
重新傳送使用者的密碼 - 系統管理說明 (文章)