Slechte wachtwoorden elimineren met Azure Active Directory wachtwoordbeveiliging
Veel beveiligingsadviezen raden u aan om hetzelfde wachtwoord niet op meerdere plaatsen te gebruiken, om het complex te maken en om eenvoudige wachtwoorden zoals Password123 te vermijden. U kunt uw gebruikers richtlijnen geven voor het kiezen van wachtwoorden,maar zwakke of onveilige wachtwoorden worden vaak nog steeds gebruikt. Azure AD Password Protection detecteert en blokkeert bekende zwakke wachtwoorden en hun varianten, en kan ook aanvullende zwakke termen blokkeren die specifiek zijn voor uw organisatie.
Met Azure AD Password Protection worden standaard algemene lijsten met verboden wachtwoorden automatisch toegepast op alle gebruikers in een Azure AD-tenant. Ter ondersteuning van uw eigen zakelijke en beveiligingsbehoeften kunt u vermeldingen definiëren in een aangepaste lijst met verboden wachtwoorden. Wanneer gebruikers hun wachtwoord wijzigen of opnieuw instellen, worden deze lijsten met verboden wachtwoorden gecontroleerd om het gebruik van sterke wachtwoorden af te dwingen.
Gebruik aanvullende functies, zoals Azure AD Multi-Factor Authentication,niet alleen op sterke wachtwoorden die worden afgedwongen door Azure AD Password Protection. Zie Your Pa$$word doesn't matter voor meer informatie over het gebruik van meerdere lagen van beveiliging voor uw aanmeldingsgebeurtenissen.
Belangrijk
In dit conceptuele artikel wordt aan een beheerder uitgelegd hoe Azure AD-wachtwoordbeveiliging werkt. Als u een eindgebruiker bent die al is geregistreerd voor selfservice voor wachtwoord opnieuw instellen en u weer toegang wilt krijgen tot uw account, gaat u naar https://aka.ms/sspr .
Als uw IT-team u de mogelijkheid niet heeft gegeven uw eigen wachtwoord opnieuw in te stellen, kunt u contact opnemen met de helpdesk voor meer informatie.
Algemene lijst met verboden wachtwoorden
Het Azure AD Identity Protection analyseert voortdurend Azure AD-beveiligingsgegevens op zoek naar veelgebruikte zwakke of gecompromitteerde wachtwoorden. De analyse zoekt met name naar basistermen die vaak worden gebruikt als basis voor zwakke wachtwoorden. Als er zwakke termen worden gevonden, worden ze toegevoegd aan de algemene lijst met verboden wachtwoorden. De inhoud van de algemene lijst met verboden wachtwoorden is niet gebaseerd op een externe gegevensbron, maar op de resultaten van azure AD-beveiligings-telemetrie en -analyse.
Wanneer een wachtwoord wordt gewijzigd of opnieuw wordt ingesteld voor een gebruiker in een Azure AD-tenant, wordt de huidige versie van de algemene lijst met verboden wachtwoorden gebruikt om de sterkte van het wachtwoord te valideren. Deze validatiecontrole resulteert in sterkere wachtwoorden voor alle Azure AD-klanten.
De algemene lijst met verboden wachtwoorden wordt automatisch toegepast op alle gebruikers in een Azure AD-tenant. Er hoeft niets te worden ingeschakeld of geconfigureerd en kan niet worden uitgeschakeld. Deze algemene lijst met verboden wachtwoorden wordt toegepast op gebruikers wanneer ze hun eigen wachtwoord wijzigen of opnieuw instellen via Azure AD.
Notitie
Cybercriminelen gebruiken ook vergelijkbare strategieën in hun aanvallen om veelvoorkomende zwakke wachtwoorden en variaties te identificeren. Ter verbetering van de beveiliging publiceert Microsoft de inhoud van de algemene lijst met verboden wachtwoorden niet.
Aangepaste lijst met verboden wachtwoorden
Sommige organisaties willen de beveiliging verbeteren en hun eigen aanpassingen toevoegen boven op de algemene lijst met verboden wachtwoorden. Als u uw eigen vermeldingen wilt toevoegen, kunt u de aangepaste lijst met verboden wachtwoorden gebruiken. Termen die zijn toegevoegd aan de aangepaste lijst met verboden wachtwoorden moeten zijn gericht op organisatiespecifieke termen, zoals de volgende voorbeelden:
- Merknamen
- Productnamen
- Locaties, zoals het hoofdkantoor van het bedrijf
- Bedrijfsspecifieke interne termen
- Afkortingen met een specifieke betekenis binnen het bedrijf
Wanneer termen worden toegevoegd aan de aangepaste lijst met verboden wachtwoorden, worden ze gecombineerd met de termen in de algemene lijst met verboden wachtwoorden. Gebeurtenissen voor wachtwoordwijziging of opnieuw instellen worden vervolgens gevalideerd op de gecombineerde set van deze lijsten met verboden wachtwoorden.
Notitie
De aangepaste lijst met verboden wachtwoorden kan maximaal 1000 termen bevatten. Het is niet ontworpen voor het blokkeren van extreem grote lijsten met wachtwoorden.
Als u optimaal wilt profiteren van de voordelen van de aangepaste lijst met verboden wachtwoorden, moet u eerst begrijpen hoe wachtwoorden worden geëvalueerd voordat u termen toevoegt aan de aangepaste lijst met verboden wachtwoorden. Met deze methode kunt u efficiënt grote aantallen zwakke wachtwoorden en hun varianten detecteren en blokkeren.
Laten we eens kijken naar een klant met de naam Contoso. Het bedrijf is gevestigd in Londen en maakt een product met de naam Widget. Voor deze voorbeeldklant is het verspilling en minder veilig om te proberen specifieke variaties van deze termen te blokkeren, zoals de volgende:
- "Contoso!1"
- "Contoso@London"
- "ContosoWidget"
- "! Contoso"
- "LondonHQ"
In plaats daarvan is het veel efficiënter en veiliger om alleen de belangrijkste basistermen te blokkeren, zoals de volgende voorbeelden:
- Contoso
- "Londen"
- Widget
Het algoritme voor wachtwoordvalidatie blokkeert vervolgens automatisch zwakke varianten en combinaties.
Voltooi de volgende zelfstudie om aan de slag te gaan met een aangepaste lijst met verboden wachtwoorden:
Wachtwoordspray aanvallen en lijsten met gecompromitteerde wachtwoorden van derden
Met Azure AD-wachtwoordbeveiliging kunt u zich beschermen tegen wachtwoordaanvallen. De meeste wachtwoordaanvallen proberen niet meer dan een paar keer een bepaald afzonderlijk account aan te vallen. Dit gedrag verhoogt de kans op detectie, ofwel via accountvergrendeling of op een andere manier.
In plaats daarvan verzenden de meeste wachtwoordaanvallen slechts een klein aantal bekende zwakke wachtwoorden voor elk van de accounts in een onderneming. Met deze techniek kan de aanvaller snel zoeken naar een eenvoudig aangetast account en potentiële detectiedrempels voorkomen.
Azure AD Password Protection blokkeert op efficiënte wijze alle bekende zwakke wachtwoorden die waarschijnlijk worden gebruikt bij wachtwoordaanvallen. Deze beveiliging is gebaseerd op echte beveiligings-telemetriegegevens van Azure AD om de wereldwijde lijst met verboden wachtwoorden samen te stellen.
Er zijn enkele websites van derden die miljoenen wachtwoorden opsnoemen die zijn aangetast in eerdere openbaar bekende beveiligingsschendingen. Het is gebruikelijk dat producten voor wachtwoordvalidatie van derden worden gebaseerd op een brute-force vergelijking van deze miljoenen wachtwoorden. Deze technieken zijn echter niet de beste manier om de algehele wachtwoordsterkte te verbeteren op basis van de typische strategieën die worden gebruikt door aanvallers met een wachtwoord- of verfovering.
Notitie
De algemene lijst met verboden wachtwoorden is niet gebaseerd op gegevensbronnen van derden, waaronder lijsten met gecompromitteerde wachtwoorden.
Hoewel de algemene lijst met verboden lijsten klein is in vergelijking met een aantal bulklijsten van derden, is deze afkomstig van echte beveiligings-telemetrie over werkelijke aanvallen met wachtwoordaanvallen. Deze aanpak verbetert de algehele beveiliging en effectiviteit en het wachtwoordvalidatiealgoritme maakt ook gebruik van slimme technieken voor fuzzy matching. Als gevolg hiervan detecteert en blokkeert Azure AD Password Protection op efficiënte wijze miljoenen van de meest voorkomende zwakke wachtwoorden voor gebruik in uw onderneming.
On-premises hybride scenario's
Veel organisaties hebben een hybride identiteitsmodel met on-premises Active Directory Domain Services-omgevingen (AD DS). Als u de beveiligingsvoordelen van Azure AD Password Protection wilt uitbreiden naar uw AD DS omgeving, kunt u onderdelen installeren op uw on-premises servers. Deze agents vereisen gebeurtenissen voor wachtwoordwijziging in de on-premises AD DS-omgeving om te voldoen aan hetzelfde wachtwoordbeleid als in Azure AD.
Zie Voor meer informatie Azure AD-wachtwoordbeveiliging afdwingen voor AD DS.
Hoe worden wachtwoorden geëvalueerd?
Wanneer gebruikers hun wachtwoord wijzigen of opnieuw instellen, wordt het nieuwe wachtwoord gecontroleerd op sterkte en complexiteit door het te valideren op de gecombineerde lijst met termen uit de algemene en aangepaste lijsten met verboden wachtwoorden.
Zelfs als het wachtwoord van een gebruiker een verboden wachtwoord bevat, kan het wachtwoord worden geaccepteerd als het algemene wachtwoord anders sterk genoeg is. Een nieuw geconfigureerd wachtwoord door ondergaat de volgende stappen om de algehele sterkte te beoordelen om te bepalen of het moet worden geaccepteerd of afgewezen:
Stap 1: normalisatie
Een nieuw wachtwoord ondergaat eerst een normalisatieproces. Met deze techniek kan een kleine set verboden wachtwoorden worden toegepast op een veel grotere set mogelijk zwakke wachtwoorden.
Normalisatie heeft de volgende twee onderdelen:
Alle hoofdletters worden gewijzigd in kleine letters.
Vervolgens worden algemene tekenvervangingen uitgevoerd, zoals in het volgende voorbeeld:
Oorspronkelijke letter Vervangen letter 0 o 1 l $ s @ een
Kijk eens naar het volgende voorbeeld:
- Het wachtwoord 'leeg' is verboden.
- Een gebruiker probeert het wachtwoord te wijzigen in ' Bl@nK '.
- Hoewel "" niet verboden is, wordt dit wachtwoord tijdens het normalisatieproces omgezet Bl@nk in 'leeg'.
- Dit wachtwoord wordt geweigerd.
Stap 2: controleren of het wachtwoord als verboden wordt beschouwd
Een wachtwoord wordt vervolgens onderzocht op ander overeenkomend gedrag en er wordt een score gegenereerd. Met deze uiteindelijke score wordt bepaald of de aanvraag voor wachtwoordwijziging wordt geaccepteerd of afgewezen.
Gedrag bij fuzzy matching
Fuzzy matching wordt gebruikt voor het genormaliseerde wachtwoord om te bepalen of het een wachtwoord bevat dat is gevonden in de algemene of aangepaste lijsten met verboden wachtwoorden. Het overeenkomende proces is gebaseerd op een bewerkingsafstand van één (1)-vergelijking.
Kijk eens naar het volgende voorbeeld:
Het wachtwoord abcdef is verboden.
Een gebruiker probeert het wachtwoord te wijzigen in een van de volgende opties:
- 'abcdeg' - laatste teken gewijzigd van 'f' in 'g'
- 'abcdefg' - 'g' toegevoegd aan end
- 'abcde' - na 'f' is van het einde verwijderd
Elk van de bovenstaande wachtwoorden komt niet specifiek overeen met het verboden wachtwoord abcdef.
Aangezien elk voorbeeld echter binnen een bewerkingsafstand van 1 van de verboden term 'abcdef' ligt, worden ze allemaal beschouwd als een overeenkomst met 'abcdef'.
Deze wachtwoorden worden geweigerd.
Overeenkomende subtekenreeksen (op specifieke voorwaarden)
Overeenkomende subtekenreeksen worden gebruikt voor het genormaliseerde wachtwoord om te controleren op de voor- en achternaam van de gebruiker, evenals de naam van de tenant. Tenantnaammatching wordt niet uitgevoerd bij het valideren van wachtwoorden op een AD DS domeincontroller voor on-premises hybride scenario's.
Belangrijk
Overeenkomende subtekenreeksen worden alleen afgedwongen voor namen en andere termen die ten minste vier tekens lang zijn.
Kijk eens naar het volgende voorbeeld:
- Een gebruiker met de naam Poll die het wachtwoord opnieuw wil instellen op 'p0LL23fb'.
- Na normalisering zou dit wachtwoord 'poll23fb' worden.
- Met overeenkomende subtekenreeksen wordt gevonden dat het wachtwoord de voornaam Poll van de gebruiker bevat.
- Hoewel 'poll23fb' niet specifiek op een van beide lijst met verboden wachtwoorden staat, is er een subtekenreeks gevonden die overeenkomt met Poll in het wachtwoord.
- Dit wachtwoord wordt geweigerd.
Berekening van score
De volgende stap is het identificeren van alle exemplaren van verboden wachtwoorden in het genormaliseerde nieuwe wachtwoord van de gebruiker. Punten worden toegewezen op basis van de volgende criteria:
- Elk verboden wachtwoord dat in het wachtwoord van een gebruiker wordt gevonden, krijgt één punt.
- Elk resterend teken dat geen deel uitmaakt van een verboden wachtwoord krijgt één punt.
- Een wachtwoord moet ten minste vijf (5) punten zijn die moeten worden geaccepteerd.
Voor de volgende twee voorbeeldscenario's gebruikt Contoso Azure AD-wachtwoordbeveiliging en staat contoso op de aangepaste lijst met verboden wachtwoorden. Laten we er ook van uitgaan dat 'leeg' op de globale lijst staat.
In het volgende voorbeeldscenario wijzigt een gebruiker zijn wachtwoord in C0ntos0Blank12:
Na normalisering wordt dit wachtwoord 'contosoblank12'.
Het overeenkomende proces vindt dat dit wachtwoord twee verboden wachtwoorden bevat: contoso en leeg.
Dit wachtwoord krijgt vervolgens de volgende score:
[contoso] + [leeg] + [1] + [2] = 4 punten
Omdat dit wachtwoord minder dan vijf (5) punten is, wordt het geweigerd.
Laten we eens kijken naar een iets ander voorbeeld om te laten zien hoe extra complexiteit in een wachtwoord het vereiste aantal punten kan maken dat moet worden geaccepteerd. In het volgende voorbeeldscenario wijzigt een gebruiker zijn wachtwoord in ContoS0Bl@nkf9 "!":
Na normalisering wordt dit wachtwoord 'contosoblankf9!'.
Het overeenkomende proces vindt dat dit wachtwoord twee verboden wachtwoorden bevat: contoso en leeg.
Dit wachtwoord krijgt vervolgens de volgende score:
[contoso] + [leeg] + [f] + [9] + [!] = 5 punten
Omdat dit wachtwoord ten minste vijf (5) punten is, wordt het geaccepteerd.
Belangrijk
Het algoritme voor verboden wachtwoorden, samen met de algemene lijst met verboden wachtwoorden, kan op elk moment in Azure worden gewijzigd op basis van doorlopende beveiligingsanalyses en onderzoek.
Voor de on-premises DC-agentservice in hybride scenario's worden bijgewerkte algoritmen alleen van kracht nadat de dc-agentsoftware is bijgewerkt.
Wat gebruikers zien
Wanneer een gebruiker probeert een wachtwoord opnieuw in te stellen of te wijzigen in een verboden wachtwoord, wordt een van de volgende foutberichten weergegeven:
"Helaas bevat uw wachtwoord een woord, woordgroep of patroon waardoor uw wachtwoord gemakkelijk te raden is. Probeer het opnieuw met een ander wachtwoord.
"We hebben dat wachtwoord te vaak gezien. Kies iets wat moeilijker te raden is.
Kies een wachtwoord dat moeilijker te raden is voor mensen.
Licentievereisten
| Gebruikers | Azure AD-wachtwoordbeveiliging met globale lijst met verboden wachtwoorden | Azure AD-wachtwoordbeveiliging met aangepaste lijst met verboden wachtwoorden |
|---|---|---|
| Cloudgebruikers | Azure AD Free | Azure AD Premium P1 of P2 |
| Gebruikers die zijn gesynchroniseerd vanaf on-premises AD DS | Azure AD Premium P1 of P2 | Azure AD Premium P1 of P2 |
Notitie
On-premises AD DS gebruikers die niet zijn gesynchroniseerd met Azure AD, profiteren ook van Azure AD-wachtwoordbeveiliging op basis van bestaande licenties voor gesynchroniseerde gebruikers.
Aanvullende licentie-informatie, inclusief kosten, vindt u op de Azure Active Directory-site.
Volgende stappen
Voltooi de volgende zelfstudie om aan de slag te gaan met een aangepaste lijst met verboden wachtwoorden:
U kunt vervolgens ook on-premises Azure AD-wachtwoordbeveiliging inschakelen.