Microsoft 365 密碼的密碼原則建議

於 小型企業協助與學習 上查看我們所有小型企業內容。

身為組織的系統管理員，您必須為貴組織中的使用者設定密碼原則。 設定密碼原則相當複雜且令人困惑，因此本文提供加強貴組織對密碼攻擊的防護的建議。

僅限 Microsoft 雲端帳戶具有無法變更的預先定義密碼原則。 您可以變更的唯一項目是密碼到期前的天數，以及密碼是否永不到期。

若要判斷貴組織中的 Microsoft 365 密碼到期頻率，請參閱設定 Microsoft 365 的密碼到期原則。

如需有關 Microsoft 365 密碼的詳細資訊，請參閱：

重設密碼 (文章)

設定個別使用者的密碼永不過期 (文章)

讓使用者重設自己的密碼 (文章)

重新傳送用戶的密碼 (文章)

重新思考強制密碼變更的時間。

了解密碼建議

良好的密碼實踐分為幾大類：

• 抵禦常見攻擊：這涉及選擇讓使用者在何處輸入密碼 (具有良好惡意程式碼偵測的已知和信任的裝置、經過驗證的網站)，以及選擇要選用哪個密碼 (長度和唯一性)。

• 包含成功的攻擊：包含成功駭客攻擊是指限制僅向特定服務公開，或在使用者密碼遭竊的情況下完全防止該損失。 例如，確保社交網路認證外洩不會導致銀行帳戶易受攻擊，也不會讓防護較弱的帳戶接受重要帳戶的重設連結。

• 了解人的天性：許多有效的密碼實踐都在面對自然的人類行為時失敗。 瞭解人性很重要，因為研究顯示您對使用者施加的每個規則，幾乎都會導致密碼品質降低。 長度要求、特殊字元要求和密碼變更要求都會導致密碼標準化，讓攻擊者更容易猜測或破解密碼。

系統管理員的密碼指導方針

加強密碼系統安全的主要目標是密碼多樣性。 您希望密碼原則包含許多不同且難以猜測的密碼。 以下是一些讓貴組織盡可能安全的建議。

• 維持 8 個字元的最小長度需求

• 不設定字元構成要求。 例如，*& (^%$

• 不要求使用者帳戶定期重設密碼

• 禁止常見密碼，使系統中不存在容易受到攻擊的密碼

• 教育使用者不要基於非工作相關用途重複使用其組織密碼

• 強制註冊多重要素驗證

• 啟用風險型多重要素驗證挑戰

使用者密碼指導方針

以下是提供貴組織使用者的一些密碼指導方針。 請務必讓您的使用者了解這些建議，並在組織層級強制執行建議的密碼原則。

• 請勿使用在任何其他網站上所使用的相同或相似密碼

• 請勿只用一個單字，例如 password，也不要使用常用片語，例如 Iloveyou

• 讓密碼難以猜測，即使是對您非常瞭解的人也一樣，例如您朋友和家庭的名字和生日、您最愛的群組，以及您想要使用的詞組

一些常見做法及其負面影響

這是一些最常用的密碼管理做法，但研究會警告我們其負面影響。

使用者密碼到期要求

密碼到期需求的危害大於良好，因為它們可讓用戶選取可預測的密碼，其中包含彼此密切相關的循序字組和數位。 在這些情況下，下一個密碼可根據先前的密碼來預測。 密碼到期要求不會提供任何控制優勢，因為網路罪犯總會在盜取憑證後立即使用憑證。

密碼長度下限需求

若要鼓勵用戶考慮唯一密碼，建議您保留合理的八個字元最小長度需求。

要求使用多個字元集

密碼複雜性要求會縮減金鑰空間，並讓使用者以可預測的方式行動，因此弊大於利。 大多數系統都會強制實施一定程度的密碼複雜性要求。 例如，密碼需要使用下列所有三種類別的字元：

• 大寫字元

• 小寫字元

• 非英數字元

大部分的人都會使用類似的模式。 例如，第一個位置的大寫字母、最後一個位置的符號，以及最後 2 個數位。 網路攻擊者知道這類模式，因此他們會使用最常見的替代專案來執行其字典攻擊、使用 “s” 的 “$”、“@” 表示 “a”、“1” 表示 “l”。 強制使用者選擇大寫、小寫、數字、特殊字元的組合會造成負面影響。 有些複雜性要求甚至會妨礙使用者使用安全易記的密碼，並迫使他們採用安全性較低且更難記住的密碼。

成功的模式

相比之下，以下是鼓勵密碼多樣性的一些建議。

禁用常見密碼

建立密碼時，您應對使用者提出的最重要的密碼要求是禁用常見密碼，使貴組織更不容易受到暴力密碼破解攻擊。 常見的使用者密碼包括：abcdefg、password、monkey。

教育使用者不要在其他位置重複使用組織密碼

要傳達給組織內部使用者的最重要訊息之一是不要在任何其他位置重複使用其組織密碼。 在外部網站中使用組織密碼會大幅增加網路犯罪者入侵這些密碼的可能性。

強制執行多重要素驗證註冊

請確保您的使用者更新連絡人和安全性資訊，例如備用電子郵件地址、電話號碼或註冊接收推播通知的裝置，以便讓使用者應對安全性挑戰及收到安全性事件通知。 更新的連絡人和安全性資訊可協助使用者在忘記密碼時或其他人嘗試接管其帳戶時驗證他們的身分。 它也提供頻外通知通道來處理安全性事件，例如登入嘗試或變更密碼。

若要深入瞭解，請參閱設定多重要素驗證。

啟用風險型多重要素驗證

風險型多重要素驗證可確保當我們的系統偵測到可疑的活動時，它可以挑戰使用者，以確保他們是合法的帳戶擁有者。

後續步驟

想要了解有關管理密碼的更多資訊嗎？ 以下是一些建議閱讀：

• 忘記密碼，進入無密碼

• Microsoft 密碼指引

• Do Strong Web Passwords Accomplish Anything? (強大的網站密碼是否有用？)

• Password Portfolios and the Finite-Effort User (密碼組合和努力有限的使用者)

• Preventing Weak Passwords by Reading Users' Minds (透過閱讀使用者的思維來防止弱式密碼)

• Choosing Secure Passwords (選擇安全密碼)

• Time to rethink mandatory password changes (是時候重新思考強制密碼變更了)

相關內容

重設密碼 (文章)
設定個別使用者的密碼永不過期 (文章)
讓使用者重設自己的密碼 (文章)
重新傳送使用者的密碼 - 系統管理說明 (文章)