Anbefalinger til adgangskodepolitik for Microsoft 365-adgangskoder

  • Artikel

Se alt vores indhold til små virksomheder i Hjælp til og læring for små virksomheder.

Som administrator af en organisation er du ansvarlig for at angive adgangskodepolitikken for brugere i din organisation. Angivelse af adgangskodepolitikken kan være kompliceret og forvirrende, og denne artikel indeholder anbefalinger til at gøre din organisation mere sikker mod adgangskodeangreb.

Microsoft-konti kun i cloudmiljøet har en foruddefineret adgangskodepolitik, der ikke kan ændres. De eneste elementer, du kan ændre, er antallet af dage, indtil en adgangskode udløber, og om adgangskoder overhovedet udløber.

Hvis du vil finde ud af, hvor ofte Microsoft 365-adgangskoder udløber i din organisation, skal du se Angiv politik for udløb af adgangskode for Microsoft 365.

Du kan få flere oplysninger om Adgangskoder til Microsoft 365 under:

Nulstil adgangskoder (artikel)

Angiv en individuel brugers adgangskode til aldrig at udløbe (artikel)

Lad brugerne nulstille deres egne adgangskoder (artikel)

Send en brugers adgangskode igen (artikel)

Tid til at gentænke obligatoriske adgangskodeændringer.

Om anbefalinger til adgangskoder

God praksis for adgangskoder kan opdeles i nogle få brede kategorier:

  • Modstand mod almindelige angreb Dette omfatter valget af, hvor brugerne indtaster adgangskoder (kendte og pålidelige enheder med god malwareregistrering, validerede websteder) og valget af, hvilken adgangskode de skal vælge (længde og unikhed).

  • Indeholder vellykkede angreb At indeholde vellykkede hackerangreb handler om at begrænse eksponeringen for en bestemt tjeneste eller forhindre, at skaden helt forhindres, hvis en brugers adgangskode bliver stjålet. For eksempel at sikre, at et brud på dine legitimationsoplysninger til sociale netværk ikke gør din bankkonto sårbar eller ikke lader en dårligt overvåget konto acceptere nulstillingslinks for en vigtig konto.

  • Forståelse af den menneskelige natur Mange gyldige fremgangsmåder for adgangskoder mislykkes i forbindelse med naturlige menneskelige adfærd. Det er vigtigt at forstå den menneskelige natur, fordi forskning viser, at næsten alle de regler, du pålægger dine brugere, resulterer i en svækkelse af kvaliteten af adgangskoder. Krav til længde, særlige tegnkrav og krav til ændring af adgangskode resulterer alle i normalisering af adgangskoder, hvilket gør det nemmere for hackere at gætte eller knække adgangskoder.

Retningslinjer for adgangskoder for administratorer

Det primære mål med et mere sikkert adgangskodesystem er mangfoldighed af adgangskoder. Din adgangskodepolitik skal indeholde mange forskellige adgangskoder, som er svære at gætte. Her er nogle anbefalinger til, hvordan du holder din organisation så sikker som muligt.

  • Bevar et minimumlængdekrav på otte tegn

  • Kræver ikke krav til tegnsammensætning. F.eks. *&(^%$

  • Kræver ikke obligatorisk periodisk nulstilling af adgangskode for brugerkonti

  • Forbud mod almindelige adgangskoder for at holde de mest sårbare adgangskoder ude af systemet

  • Oplær dine brugere i ikke at genbruge deres organisationsadgangskoder til ikke-arbejdsrelaterede formål

  • Gennemtving registrering for multifaktorgodkendelse

  • Aktivér risikobaserede udfordringer med multifaktorgodkendelse

Vejledning til adgangskoder til dine brugere

Her er nogle vejledninger til adgangskoder for brugere i din organisation. Sørg for at fortælle brugerne om disse anbefalinger og gennemtvinge de anbefalede adgangskodepolitikker på organisationsniveau.

  • Brug ikke en adgangskode, der er den samme eller ligner den, du bruger på andre websteder

  • Brug ikke et enkelt ord, f.eks. adgangskode eller et almindeligt brugt udtryk som F.eks.

  • Gør det svært at gætte adgangskoder, selv af personer, der ved meget om dig, f.eks. dine venners og families navne og fødselsdage, dine yndlingsbands og udtryk, du kan lide at bruge

Nogle almindelige tilgange og deres negative virkninger

De er nogle af de mest anvendte praksisser for administration af adgangskoder, men undersøgelser advarer os om deres negative virkninger.

Krav til udløb af adgangskode for brugere

Krav til udløb af adgangskode gør mere skade end gavn, da de får brugerne til at vælge forudsigelige adgangskoder, der består af sekventielle ord og tal, der er tæt forbundet med hinanden. I disse tilfælde kan den næste adgangskode forudsiges på baggrund af den forrige adgangskode. Krav til udløb af adgangskode giver ingen opbevaringsfordele, fordi cyberkriminelle næsten altid bruger legitimationsoplysninger, så snart de kompromitterer dem.

Minimumkrav til adgangskodelængde

Hvis du vil opfordre brugerne til at tænke på en unik adgangskode, anbefaler vi, at du beholder et rimeligt minimumkrav til minimumlængden på otte tegn.

Krav om brug af flere tegnsæt

Krav til adgangskodekompleksitet reducerer den centrale plads og får brugerne til at handle på forudsigelige måder og gøre mere skade end gavn. De fleste systemer gennemtvinger et vist niveau af kompleksitetskrav til adgangskoder. Adgangskoder skal f.eks. bruge tegn fra alle tre af følgende kategorier:

  • store bogstaver

  • små bogstaver

  • ikke-alfanumeriske tegn

De fleste bruger lignende mønstre. For eksempel et stort bogstav på den første position, et symbol i det sidste og et tal i de sidste 2. Cyberkriminelle er opmærksomme på sådanne mønstre, så de kører deres ordbogsangreb ved hjælp af de mest almindelige erstatninger, "$" for "s", "@" for "a", "1" for "l". Det har en negativ effekt at tvinge brugerne til at vælge en kombination af øvre, nederste, cifre og specialtegn. Nogle kompleksitetskrav forhindrer endda brugerne i at bruge sikre og mindeværdige adgangskoder og tvinger dem til at komme med mindre sikre og mindre mindeværdige adgangskoder.

Vellykkede mønstre

I modsætning hertil er her nogle anbefalinger til at fremme mangfoldighed af adgangskoder.

Forbud mod almindelige adgangskoder

Det vigtigste krav til adgangskoder, som du skal stille til dine brugere, når du opretter adgangskoder, er at forbyde brugen af almindelige adgangskoder for at reducere din organisations følsomhed over for brute force-adgangskodeangreb. Almindelige brugeradgangskoder omfatter: abcdefg, adgangskode, abe.

Oplær brugerne i ikke at genbruge organisationsadgangskoder andre steder

En af de vigtigste meddelelser, du kan få adgang til for brugerne i din organisation, er ikke at genbruge deres organisationsadgangskode andre steder. Brugen af organisationsadgangskoder på eksterne websteder øger i høj grad sandsynligheden for, at cyberkriminelle kan kompromittere disse adgangskoder.

Gennemtving registrering af multifaktorgodkendelse

Sørg for, at brugerne opdaterer kontakt- og sikkerhedsoplysninger, f.eks. en alternativ mailadresse, et telefonnummer eller en enhed, der er registreret til pushmeddelelser, så de kan reagere på sikkerhedsudfordringer og få besked om sikkerhedshændelser. Opdaterede kontakt- og sikkerhedsoplysninger hjælper brugerne med at bekræfte deres identitet, hvis de glemmer deres adgangskode, eller hvis en anden forsøger at overtage deres konto. Den indeholder også en kanal, hvor der ikke er mere båndmeddelelse for sikkerhedshændelser, f.eks. logonforsøg eller ændrede adgangskoder.

Du kan få mere at vide under Konfigurer multifaktorgodkendelse.

Aktivér risikobaseret multifaktorgodkendelse

Risikobaseret multifaktorgodkendelse sikrer, at når vores system registrerer mistænkelig aktivitet, kan det udfordre brugeren for at sikre, at de er den legitime kontoejer.

Næste trin

Vil du vide mere om administration af adgangskoder? Her er nogle anbefalede læsning:

Relateret indhold

Nulstil adgangskoder (artikel)
Angiv en individuel brugers adgangskode til aldrig at udløbe (artikel)
Lad brugerne nulstille deres egne adgangskoder (artikel)
Send en brugers adgangskode igen – Administration Hjælp (artikel)