Eliminowanie nieprawidłowych haseł w organizacjiEliminate bad passwords in your organization

Liderzy branżowi informują o tym, że nie używasz tego samego hasła w wielu miejscach, aby zapewnić jego złożoność i nie tak, jak "Password123".Industry leaders tell you not to use the same password in multiple places, to make it complex, and to not make it simple like “Password123”. W jaki sposób organizacje mogą zagwarantować, że ich użytkownicy są zgodnie z najlepszymi wskazówkami?How can organizations guarantee that their users are following best-practice guidance? Jak upewnić się, że użytkownicy nie używają słabych haseł, a nawet odmian dla słabych haseł?How can they make sure users aren't using weak passwords, or even variations on weak passwords?

Pierwszym krokiem w przypadku silnych haseł jest zapewnienie użytkownikom wskazówek.The initial step in having stronger passwords is to provide guidance to your users. Bieżące wskazówki dotyczące tego tematu firmy Microsoft można znaleźć w następującym łączu:Microsoft's current guidance on this topic can be found at the following link:

Wskazówki dotyczące haseł firmy MicrosoftMicrosoft Password Guidance

Posiadanie dobrych wskazówek jest ważne, ale nawet w przypadku, gdy mamy pewność, że wielu użytkowników nadal kończy Wybieranie słabych haseł.Having good guidance is important, but even with that we know that many users will still end up choosing weak passwords. Ochrona hasłem w usłudze Azure AD chroni organizację przez wykrywanie i blokowanie znanych słabych haseł oraz ich wariantów, a także opcjonalne blokowanie dodatkowych warunków, które są specyficzne dla Twojej organizacji.Azure AD Password Protection protects your organization by detecting and blocking known weak passwords and their variants, as well as optionally blocking additional weak terms that are specific to your organization.

Aby uzyskać więcej informacji na temat bieżących wysiłków związanych z zabezpieczeniami, zobacz Raport analizy zabezpieczeń firmy Microsoft.For more information about current security efforts, see the Microsoft Security Intelligence Report.

Lista zabronionych haseł globalnychGlobal banned password list

Zespół Azure AD Identity Protection stale analizuje dane telemetryczne zabezpieczeń usługi Azure AD szukające często używanych słabych lub złamanych haseł lub bardziej szczegółowych warunków podstawowych, które często są używane jako podstawa dla słabych haseł.The Azure AD Identity Protection team constantly analyzes Azure AD security telemetry data looking for commonly used weak or compromised passwords, or more specifically, the weak base terms that often are used as the basis for weak passwords. Po znalezieniu takich słabych terminów są one dodawane do listy globalnie zabronione hasła.When such weak terms are found, they are added to the global banned password list. Zawartość globalnej listy haseł zabronione nie jest oparta na żadnym zewnętrznym źródle danych.The contents of the global banned password list are not based on any external data source. Globalna lista wykluczonych haseł opiera się wyłącznie na bieżących wynikach telemetrii i analizie zabezpieczeń usługi Azure AD.The global banned password list is based entirely on the ongoing results of Azure AD security telemetry and analysis.

Za każdym razem, gdy nowe hasło jest zmieniane lub resetowane dla dowolnego użytkownika w dowolnej dzierżawie w usłudze Azure AD, bieżąca wersja globalnej listy haseł jest używana jako dane wejściowe klucza podczas sprawdzania siły hasła.Whenever a new password is changed or reset for any user in any tenant in Azure AD, the current version of the global banned password list is used as the key input when validating the strength of the password. To sprawdzenie poprawności skutkuje znacznie silniejszymi hasłami dla wszystkich klientów usługi Azure AD.This validation results in much stronger passwords for all Azure AD customers.

Uwaga

Cybernetycznymi — przestępcy stosują także podobne strategie w oddziałach.Cyber-criminals also use similar strategies in their attacks. W związku z tym firma Microsoft nie publikuje zawartości tej listy publicznie.Therefore Microsoft does not publish the contents of this list publicly.

Niestandardowa lista wykluczonych hasełCustom banned password list

Niektóre organizacje mogą chcieć jeszcze bardziej poprawić zabezpieczenia poprzez dodanie własnych dostosowań na liście globalnie zakazanych haseł, w których firma Microsoft wywołuje niestandardową listę wykluczonych haseł.Some organizations may want to improve security even further by adding their own customizations on top of the global banned password list in what Microsoft calls the custom banned password list. Firma Microsoft zaleca, aby warunki dodane do tej listy były głównie skoncentrowane na warunkach określonych w organizacji, takich jak:Microsoft recommends that terms added to this list are primarily focused on organizational-specific terms such as:

  • Nazwy markiBrand names
  • Nazwy produktówProduct names
  • Lokalizacje (np. oddział firmy)Locations (for example, such as company headquarters)
  • Terminy wewnętrzne specyficzne dla firmyCompany-specific internal terms
  • Skróty, które mają określone znaczenie firmy.Abbreviations that have specific company meaning.

Po dodaniu terminów do listy niestandardowych zakazanych haseł zostaną one połączone z warunkami z listy globalnie zakazanych haseł podczas walidacji haseł.Once terms are added to the custom banned password list, they will be combined with the terms in the global banned password list when validating passwords.

Uwaga

Niestandardowa lista wykluczonych haseł jest ograniczona do maksymalnie 1000 warunków.The custom banned password list is limited to having a maximum of 1000 terms. Nie jest ona przeznaczona do blokowania bardzo dużych list haseł.It is not designed for blocking extremely large lists of passwords. Aby w pełni wykorzystać zalety niestandardowej listy zakazanych haseł, firma Microsoft zaleca, aby najpierw przejrzeć i zrozumieć algorytm oceny haseł (zobacz jak są oceniane hasła) przed dodaniem nowych warunków do listy zablokowanych niestandardowych.In order to fully leverage the benefits of the custom banned password list, Microsoft recommends that you first review and understand the password evaluation algorithm (see How are passwords evaluated) before adding new terms to the custom banned list. Zrozumienie, jak działa algorytm umożliwi firmie wydajne wykrywanie i blokowanie dużej liczby słabych haseł i ich wariantów.Understanding how the algorithm works will enable your enterprise to efficiently detect and block large numbers of weak passwords and their variants.

Na przykład: Rozważmy klienta o nazwie "contoso", który jest oparty na Londynie i który sprawia, że produkt nosi nazwę "widget".For example: consider a customer named “Contoso”, that is based in London, and that makes a product named “Widget”. W przypadku takiego klienta należy wasteful, a także mniej bezpieczny, aby próbować blokować konkretne wahania tych warunków, takich jak:For such a customer, it would be wasteful as well as less secure to try to block specific variations of these terms such as:

  • "Contoso! 1""Contoso!1"
  • „Contoso@London”"Contoso@London"
  • "ContosoWidget""ContosoWidget"
  • "! Contoso"!Contoso"
  • "LondonHQ""LondonHQ"
  • ... etcetera...etcetera

Zamiast tego jest to znacznie bardziej wydajne i bezpieczne, aby blokować tylko kluczowe warunki podstawowe:Instead, it is much more efficient and secure to block only the key base terms:

  • "Contoso""Contoso"
  • Londyn"London"
  • Walidacj"Widget"

Algorytm walidacji hasła będzie automatycznie blokować słabe warianty i kombinacje powyższych.The password validation algorithm will then automatically block weak variants and combinations of the above.

Niestandardowa lista wykluczonych haseł oraz możliwość włączania integracji Active Directory lokalnych jest zarządzana przy użyciu Azure Portal.The custom banned password list and the ability to enable on-premises Active Directory integration is managed using the Azure portal.

Modyfikowanie niestandardowej listy wykluczonych haseł w obszarze metody uwierzytelniania

Ataki rozpylania hasła i listy haseł z naruszonymi zabezpieczeniami innych firmPassword spray attacks and third-party compromised password lists

Jedną z korzyści związanych z ochroną hasłem w usłudze Azure AD jest ułatwienie obrony przed atakami polegającymi na rozpylaniu hasła.One key Azure AD password protection benefit is to help you defend against password spray attacks. Większość ataków z rozpylaczem hasła nie podejmuje próby ataków na każde pojedyncze konto więcej niż kilka razy, ponieważ takie zachowanie znacznie zwiększa prawdopodobieństwo wykrycia przez zablokowanie konta lub inne środki.Most password spray attacks do not attempt to attack any given individual account more than a few times since such behavior greatly increases the likelihood of detection, either via account lockout or other means. Większość ataków z rozpylaczem hasła polega na przesłaniu tylko niewielkiej liczby znanych słabych haseł do poszczególnych kont w przedsiębiorstwie.The majority of password spray attacks therefore rely on submitting only a small number of the known weakest passwords against each of the accounts in an enterprise. Dzięki tej metodzie osoba atakująca może szybko wyszukiwać łatwo naruszone konto, jednocześnie unikając potencjalnych progów wykrywania.This technique allows the attacker to quickly search for an easily compromised account while at the same time avoiding potential detection thresholds.

Ochrona hasłem w usłudze Azure AD została zaprojektowana w celu wydajnego zablokowania wszystkich znanych słabych haseł, które mogą być używane w atakach z wykorzystaniem hasła, na podstawie rzeczywistych danych telemetrycznych zabezpieczeń widzianych przez usługę Azure AD.Azure AD password protection is designed to efficiently block all known weak passwords that are likely to be used in password spray attacks, based on real-world security telemetry data as seen by Azure AD. Firma Microsoft wie o witrynach sieci Web innych firm, które wyliczają miliony haseł, które zostały naruszone w ramach wcześniejszych publicznie znanych naruszeń zabezpieczeń.Microsoft is aware of third-party websites that enumerate millions of passwords that have been compromised in previous publicly known security breaches. Jest to typowy dla produktów innych firm do sprawdzania poprawności haseł, które są oparte na porównaniu z wymuszeniem rozliczania do tych milionów haseł.It is common for third-party password validation products to be based on brute-force comparison against those millions of passwords. Firma Microsoft uważa, że takie techniki nie są najlepszym sposobem na poprawienie ogólnej siły hasła, z uwzględnieniem typowych strategii używanych przez osoby atakujące przy użyciu hasła.Microsoft feels that such techniques are not the best way to improve overall password strength given the typical strategies used by password spray attackers.

Uwaga

Lista wykluczonych haseł Microsoft Global nie jest oparta na żadnym ze źródeł danych innych firm, w tym na listach z naruszonymi hasłami.The Microsoft global banned password list is not based whatsoever on any third-party data sources, including compromised password lists.

Mimo że globalna lista zabronionych firmy Microsoft jest niewielka w porównaniu z niektórymi listami zbiorczymi innych firm, jego skutki bezpieczeństwa są wzmacniane przez fakt, że pochodzi on z realnej telemetrii zabezpieczającej na potrzeby faktycznego ataku z wykorzystaniem hasła, a także faktu, że firma Microsoft algorytm walidacji hasła używa inteligentnych technik dopasowywania rozmytego.Although the Microsoft global banned list is small in comparison to some third-party bulk lists, its security effects are amplified by the fact that it is sourced from real-world security telemetry on actual password spray attacks, plus the fact that the Microsoft password validation algorithm uses smart fuzzy-matching techniques. Wynikiem tego jest to, że będzie efektywnie wykrywać i blokować miliony najbardziej typowych słabych haseł w przedsiębiorstwie.The end result is that it will efficiently detect and block millions of the most common weak passwords from being used in your enterprise. Klienci, którzy zdecydują się dodać warunki specyficzne dla organizacji do listy niestandardowo zakazane hasła, również korzystają z tego samego algorytmu.Customers who choose to add organization-specific terms to the custom banned password list also benefit from the same algorithm.

Dodatkowe informacje na temat problemów z zabezpieczeniami opartymi na haśle można sprawdzić na komputerze PA $ $Word nie ma znaczenia.Additional information on password-based security issues may be reviewed at Your Pa$$word doesn't matter.

Lokalne scenariusze hybrydoweOn-premises hybrid scenarios

Ochrona kont tylko w chmurze jest przydatna, ale wiele organizacji utrzymuje scenariusze hybrydowe, w tym Active Directory lokalnego systemu Windows Server.Protecting cloud-only accounts is helpful but many organizations maintain hybrid scenarios including on-premises Windows Server Active Directory. Korzyści z używania ochrony hasłem w usłudze Azure AD mogą być również rozszerzane do środowiska Active Directory systemu Windows Server za pośrednictwem instalacji agentów lokalnych.The security benefits of Azure AD password protection may also be extended into your Windows Server Active Directory environment via the installation of on-premises agents. Teraz użytkownicy i Administratorzy, którzy zmienią lub zresetują hasła w Active Directory są zobowiązani do zgodności z tymi samymi zasadami haseł co użytkownicy tylko w chmurze.Now users and administrators who change or reset passwords in Active Directory are required to comply with the same password policy as cloud-only users.

Jak są oceniane hasłaHow are passwords evaluated

Za każdym razem, gdy użytkownik zmienia lub resetuje hasło, nowe hasło jest sprawdzane pod kątem siły i złożoności, sprawdzając, czy jest to połączona lista warunków z globalnych i niestandardowych list zakazanych haseł (Jeśli ta ostatnia jest skonfigurowana).Whenever a user changes or resets their password, the new password is checked for strength and complexity by validating it against the combined list of terms from the global and custom banned password lists (if the latter is configured).

Nawet jeśli hasło użytkownika zawiera zabronione hasło, hasło może nadal zostać zaakceptowane, jeśli ogólne hasło jest wystarczająco silne.Even if a user’s password contains a banned password, the password may still be accepted if the overall password is strong enough otherwise. Nowo skonfigurowane hasło przejdzie przez następujące kroki, aby ocenić jego ogólną siłę, aby określić, czy powinien zostać zaakceptowany czy odrzucony.A newly configured password will go through the following steps to assess its overall strength to determine if it should be accepted or rejected.

Krok 1: NormalizacjaStep 1: Normalization

Nowe hasło najpierw przechodzi przez proces normalizacji.A new password first goes through a normalization process. Ta technika umożliwia zmapowanie małego zestawu zabronionych haseł do znacznie większego zestawu potencjalnie słabych haseł.This technique allows for a small set of banned passwords to be mapped to a much larger set of potentially weak passwords.

Normalizacja ma dwie części.Normalization has two parts. Po pierwsze wielkie litery są zmieniane na małą literę.First, all uppercase letters are changed to lower case. Sekunda, typowe podstawienia znaków są wykonywane, na przykład:Second, common character substitutions are performed, for example:

Oryginalna literaOriginal letter Zastąpiona literaSubstituted letter
'0''0' wyjścia'o'
jedno'1' &'l'
'$''$' przeglądarki's'
'@''@' 'a''a'

Przykład: Załóżmy, że hasło "puste" jest zabronione, a użytkownik próbuje zmienić hasło na "Bl@nK".Example: assume that the password “blank” is banned, and a user tries to change their password to “Bl@nK”. Mimo że "Bl@nk" nie jest jawnie zakazany, proces normalizacji konwertuje to hasło na "puste", które jest zakazanym hasłem.Even though “Bl@nk” is not specifically banned, the normalization process converts this password to “blank”, which is a banned password.

Krok 2. Sprawdzanie, czy hasło jest uznawane za zabronioneStep 2: Check if password is considered banned

Zachowanie dopasowywania rozmytegoFuzzy matching behavior

Dopasowywanie rozmyte jest używane na znormalizowanym haśle, aby określić, czy zawiera hasło znalezione na listach globalnych lub niestandardowych zakazanych haseł.Fuzzy matching is used on the normalized password to identify if it contains a password found on either the global or the custom banned password lists. Proces dopasowywania zależy od edycji odległości jednego (1) porównania.The matching process is based on an edit distance of one (1) comparison.

Przykład: Załóżmy, że hasło "abcdef" jest zabronione, a użytkownik próbuje zmienić hasło na jedną z następujących czynności:Example: assume that the password “abcdef” is banned, and a user tries to change their password to one of the following:

"abcdeg" (ostatni znak został zmieniony z "f" na "g") "abcdefg" "(" dołączono do końca ") " abcd " (końcowe" f "zostało usunięte z końca)‘abcdeg’ (last character changed from ‘f’ to ‘g’) ‘abcdefg’ ’(g’ appended to end) ‘abcde’ (trailing ‘f’ was deleted from end)

Każde z powyższych haseł nie jest jawnie zgodne z zakazanym hasłem "abcdef".Each of the above passwords does not specifically match the banned password "abcdef". Jednakże, ponieważ każdy przykład znajduje się w odległości od 1 niedozwolonego terminu "abcdef", wszystkie są uważane za zgodne z "abcdef".However, since each example is within an edit distance of 1 of the banned term ‘abcdef’, they are all considered as a match to “abcdef”.

Dopasowywanie podciągów (na określonych warunkach)Substring matching (on specific terms)

Dopasowywanie podciągów jest używane na znormalizowanym haśle, aby sprawdzić, czy nazwa użytkownika i nazwisko oraz nazwę dzierżawy (należy zauważyć, że dopasowywanie nazw dzierżawców nie jest wykonywane podczas weryfikacji haseł na Active Directory kontrolerze domeny).Substring matching is used on the normalized password to check for the user’s first and last name as well as the tenant name (note that tenant name matching is not done when validating passwords on an Active Directory domain controller).

Przykład: Załóżmy, że mamy użytkownika, pol, który chce zresetować swoje hasło do "P0l123fb".Example: assume that we have a user, Pol, who wants to reset their password to “P0l123fb”. Po normalizacji to hasło stanie się "pol123fb".After normalization, this password would become “pol123fb”. Dopasowywanie podciągów oznacza, że hasło zawiera imię i nazwisko użytkownika "pol".Substring matching finds that the password contains the user’s first name “Pol”. Mimo że "P0l123fb" nie został jawnie na liście wykluczonych haseł, dopasowanie podciągu znaleziono "pol" w haśle.Even though “P0l123fb” was not specifically on either banned password list, substring matching found “Pol" in the password. W związku z tym hasło byłoby odrzucone.Therefore this password would be rejected.

Obliczanie wynikuScore Calculation

Następnym krokiem jest zidentyfikowanie wszystkich wystąpień zakazanych haseł w znormalizowanym nowym haśle użytkownika.The next step is to identify all instances of banned passwords in the user's normalized new password. Następnie:Then:

  1. Każde z zakazanych haseł, które znajdują się w haśle użytkownika, otrzymuje jeden punkt.Each banned password that is found in a user’s password is given one point.
  2. Każdy pozostały unikatowy znak jest przyznany jeden punkt.Each remaining unique character is given one point.
  3. Hasło musi zawierać co najmniej pięć (5) punktów, aby można je było zaakceptować.A password must be at least five (5) points for it to be accepted.

Załóżmy, że firma Contoso używa ochrony hasłem usługi Azure AD i ma "contoso" na swojej liście niestandardowej.For the next two examples, let’s assume that Contoso is using Azure AD Password Protection and has “contoso” on their custom list. Załóżmy również, że na globalnej liście znajduje się wartość "puste".Let’s also assume that “blank” is on the global list.

Przykład: użytkownik zmienia swoje hasło na "C0ntos0Blank12"Example: a user changes their password to “C0ntos0Blank12”

Po normalizacji to hasło przyjmuje wartość "contosoblank12".After normalization, this password becomes “contosoblank12”. Proces dopasowywania stwierdza, że to hasło zawiera dwa zabronione hasła: contoso i blank.The matching process finds that this password contains two banned passwords: contoso and blank. To hasło otrzymuje wynik:This password is then given a score:

[contoso] + [puste] + [1] + [2] = 4 punkty, ponieważ to hasło znajduje się poniżej pięciu (5) punktów, zostanie odrzucone.[contoso] + [blank] + [1] + [2] = 4 points Since this password is under five (5) points, it will be rejected.

Przykład: użytkownik zmieni hasło na "ContoS0Bl@nkf9!".Example: a user changes their password to “ContoS0Bl@nkf9!”.

Po normalizacji to hasło zmieni się na "contosoblankf9!".After normalization, this password becomes “contosoblankf9!”. Proces dopasowywania stwierdza, że to hasło zawiera dwa zabronione hasła: contoso i blank.The matching process finds that this password contains two banned passwords: contoso and blank. To hasło otrzymuje wynik:This password is then given a score:

[contoso] + [puste] + [f] + [9] + [!] = 5 punktów, ponieważ to hasło ma co najmniej pięć (5) punktów, jest akceptowane.[contoso] + [blank] + [f] + [9] + [!] = 5 points Since this password is at least five (5) points, it is accepted.

Ważne

Należy pamiętać, że wykluczony algorytm hasła wraz z globalną listą może i wprowadzić zmiany w dowolnym momencie na platformie Azure na podstawie trwającej analizy zabezpieczeń i badań.Please note that the banned password algorithm along with the global list can and do change at any time in Azure based on ongoing security analysis and research. W przypadku lokalnej usługi agenta DC zaktualizowane algorytmy zaczną obowiązywać dopiero po ponownym zainstalowaniu oprogramowania agenta kontrolera domeny.For the on-premises DC agent service, updated algorithms will only take effect after the DC agent software is re-installed.

Wymagania licencyjneLicense requirements

Ochrona hasłem w usłudze Azure AD z listą globalnie zakazanych hasełAzure AD password protection with global banned password list Ochrona hasłem w usłudze Azure AD za pomocą niestandardowej listy zablokowanych hasełAzure AD password protection with custom banned password list
Użytkownicy tylko w chmurzeCloud-only users Usługa Azure AD — warstwa BezpłatnaAzure AD Free Azure AD — wersja Premium P1 lub P2Azure AD Premium P1 or P2
Użytkownicy zsynchronizowani z lokalnego systemu Windows Server Active DirectoryUsers synchronized from on-premises Windows Server Active Directory Azure AD — wersja Premium P1 lub P2Azure AD Premium P1 or P2 Azure AD — wersja Premium P1 lub P2Azure AD Premium P1 or P2

Uwaga

Lokalne systemy Windows Server Active Directory użytkownicy, którzy nie są synchronizowani do Azure Active Directory również korzystają z ochrony hasłem usługi Azure AD na podstawie istniejącej licencji dla synchronizowanych użytkowników.On-premises Windows Server Active Directory users that are not synchronized to Azure Active Directory also benefits from Azure AD password protection based on existing licensing for synchronized users.

Dodatkowe informacje o licencjonowaniu, w tym koszty, można znaleźć w witrynie Azure Active Directory cenowej.Additional licensing information, including costs, can be found on the Azure Active Directory pricing site.

Co widzą użytkownicyWhat do users see

Gdy użytkownik spróbuje zresetować hasło do elementu, który mógłby zostać zabroniony, zobaczy następujący komunikat o błędzie:When a user attempts to reset a password to something that would be banned, they see the following error message:

Niestety, hasło zawiera słowo, frazę lub wzorzec, które ułatwiają odgadnięcie hasła.Unfortunately, your password contains a word, phrase, or pattern that makes your password easily guessable. Spróbuj ponownie, używając innego hasła.Please try again with a different password.

Następne krokiNext steps