Eliminar senhas incorretas na organizaçãoEliminate bad passwords in your organization

Líderes do setor informam que você não usa a mesma senha em vários lugares, para torná-lo complexo e para não torná-lo simples como "Password123".Industry leaders tell you not to use the same password in multiple places, to make it complex, and to not make it simple like “Password123”. Como as organizações podem garantir que seus usuários estejam seguindo as diretrizes de práticas recomendadas?How can organizations guarantee that their users are following best-practice guidance? Como eles podem garantir que os usuários não estejam usando senhas fracas ou até mesmo variações de senhas fracas?How can they make sure users aren't using weak passwords, or even variations on weak passwords?

A etapa inicial de ter senhas mais fortes é fornecer orientação aos seus usuários.The initial step in having stronger passwords is to provide guidance to your users. A diretriz atual da Microsoft sobre este tópico pode ser encontrada no seguinte link:Microsoft's current guidance on this topic can be found at the following link:

Diretrizes de Senha da MicrosoftMicrosoft Password Guidance

Ter uma boa orientação é importante, mas mesmo com isso, sabemos que muitos usuários ainda acabarão escolhendo senhas fracas.Having good guidance is important, but even with that we know that many users will still end up choosing weak passwords. A proteção de senha do Azure AD protege sua organização detectando e bloqueando senhas fracas conhecidas e suas variantes, bem como, opcionalmente, bloqueando termos fracos adicionais que são específicos para sua organização.Azure AD Password Protection protects your organization by detecting and blocking known weak passwords and their variants, as well as optionally blocking additional weak terms that are specific to your organization.

Para obter mais informações sobre os esforços atuais de segurança, consulte o Relatório de inteligência de segurança da Microsoft.For more information about current security efforts, see the Microsoft Security Intelligence Report.

Lista de senhas proibidas globalmenteGlobal banned password list

A equipe de Azure AD Identity Protection analisa constantemente os dados de telemetria de segurança do Azure AD procurando senhas fracas ou comprometidas comumente usadas, ou mais especificamente, os termos de base fracos que geralmente são usados como base para senhas fracas.The Azure AD Identity Protection team constantly analyzes Azure AD security telemetry data looking for commonly used weak or compromised passwords, or more specifically, the weak base terms that often are used as the basis for weak passwords. Quando esses termos fracos são encontrados, eles são adicionados à lista de senhas globais banidas.When such weak terms are found, they are added to the global banned password list. O conteúdo da lista de senhas excluídas global não se baseia em nenhuma fonte de dados externa.The contents of the global banned password list are not based on any external data source. A lista de senhas globais banidas baseia-se inteiramente nos resultados contínuos da telemetria e análise de segurança do Azure AD.The global banned password list is based entirely on the ongoing results of Azure AD security telemetry and analysis.

Sempre que uma nova senha for alterada ou redefinida para qualquer usuário em qualquer locatário no Azure AD, a versão atual da lista de senhas excluídas global será usada como a entrada de chave ao validar a força da senha.Whenever a new password is changed or reset for any user in any tenant in Azure AD, the current version of the global banned password list is used as the key input when validating the strength of the password. Essa validação resulta em senhas muito mais fortes para todos os clientes do Azure AD.This validation results in much stronger passwords for all Azure AD customers.

Observação

Os criminosos virtuais também usam estratégias semelhantes em seus ataques.Cyber-criminals also use similar strategies in their attacks. Portanto, a Microsoft não publica o conteúdo dessa lista publicamente.Therefore Microsoft does not publish the contents of this list publicly.

Lista personalizada de senhas banidasCustom banned password list

Algumas organizações talvez queiram melhorar ainda mais a segurança adicionando suas próprias personalizações sobre a lista de senhas globais banidas, em que a Microsoft chama a lista personalizada de senhas banidas.Some organizations may want to improve security even further by adding their own customizations on top of the global banned password list in what Microsoft calls the custom banned password list. A Microsoft recomenda que os termos adicionados a essa lista se concentram principalmente em termos específicos da organização, como:Microsoft recommends that terms added to this list are primarily focused on organizational-specific terms such as:

  • Nomes de marcaBrand names
  • Nomes de produtosProduct names
  • Locais (por exemplo, como sede da empresa)Locations (for example, such as company headquarters)
  • Termos internos específicos da empresaCompany-specific internal terms
  • Abreviações que têm significado específico da empresa.Abbreviations that have specific company meaning.

Depois que os termos forem adicionados à lista de senhas excluídas personalizada, eles serão combinados com os termos na lista de senhas globais banidas ao validar senhas.Once terms are added to the custom banned password list, they will be combined with the terms in the global banned password list when validating passwords.

Observação

A lista de senhas excluídas personalizada é limitada a ter no máximo 1000 termos.The custom banned password list is limited to having a maximum of 1000 terms. Ele não foi projetado para bloquear listas de senhas extremamente grandes.It is not designed for blocking extremely large lists of passwords. Para aproveitar totalmente os benefícios da lista personalizada de senhas banidas, a Microsoft recomenda que você primeiro revise e entenda o algoritmo de avaliação de senha (consulte como as senhas são avaliadas) antes de adicionar novos termos à lista de proibidos personalizada.In order to fully leverage the benefits of the custom banned password list, Microsoft recommends that you first review and understand the password evaluation algorithm (see How are passwords evaluated) before adding new terms to the custom banned list. Entender como o algoritmo funciona permitirá que sua empresa detecte e bloqueie com eficiência grandes números de senhas fracas e suas variantes.Understanding how the algorithm works will enable your enterprise to efficiently detect and block large numbers of weak passwords and their variants.

Por exemplo: Considere um cliente chamado "contoso", que se baseia em Londres e que torna um produto chamado "widget".For example: consider a customer named “Contoso”, that is based in London, and that makes a product named “Widget”. Para esse cliente, seria um desperdício, bem como menos seguro, tentar bloquear variações específicas desses termos, como:For such a customer, it would be wasteful as well as less secure to try to block specific variations of these terms such as:

  • "Contoso! 1""Contoso!1"
  • "Contoso@London""Contoso@London"
  • "ContosoWidget""ContosoWidget"
  • "! Funcionam"!Contoso"
  • "LondonHQ""LondonHQ"
  • ...etcetera...etcetera

Em vez disso, é muito mais eficiente e seguro Bloquear apenas os termos básicos da chave:Instead, it is much more efficient and secure to block only the key base terms:

  • Funcionam"Contoso"
  • Londres"London"
  • Widget"Widget"

O algoritmo de validação de senha bloqueará automaticamente as variantes e as combinações fracas das anteriores.The password validation algorithm will then automatically block weak variants and combinations of the above.

A lista de senhas proibidas personalizada e a capacidade de habilitar a integração do Active Directory local são gerenciadas usando o portal do Azure.The custom banned password list and the ability to enable on-premises Active Directory integration is managed using the Azure portal.

Modificar a lista personalizada de senhas banidas em métodos de autenticação

Ataques de irrigação de senha e listas de senhas comprometidas de terceirosPassword spray attacks and third-party compromised password lists

Um dos principais benefícios da proteção de senha do Azure AD é ajudá-lo a se defender contra ataques de irrigação de senha.One key Azure AD password protection benefit is to help you defend against password spray attacks. A maioria dos ataques de irrigação de senha não tenta atacar uma determinada conta individual mais do que algumas vezes, pois esse comportamento aumenta muito a probabilidade de detecção, seja por meio de bloqueio de conta ou outros meios.Most password spray attacks do not attempt to attack any given individual account more than a few times since such behavior greatly increases the likelihood of detection, either via account lockout or other means. A maioria dos ataques de irrigação de senha, portanto, depende do envio apenas de um pequeno número de senhas mais fracas conhecidas em relação a cada uma das contas de uma empresa.The majority of password spray attacks therefore rely on submitting only a small number of the known weakest passwords against each of the accounts in an enterprise. Essa técnica permite que o invasor pesquise rapidamente uma conta facilmente comprometida e, ao mesmo tempo, evite limites de detecção potenciais.This technique allows the attacker to quickly search for an easily compromised account while at the same time avoiding potential detection thresholds.

A proteção de senha do Azure AD é projetada para bloquear com eficiência todas as senhas fracas conhecidas que provavelmente serão usadas em ataques de irrigação de senha, com base em dados de telemetria de segurança do mundo real, como visto pelo Azure AD.Azure AD password protection is designed to efficiently block all known weak passwords that are likely to be used in password spray attacks, based on real-world security telemetry data as seen by Azure AD. A Microsoft está ciente de sites de terceiros que enumeram milhões de senhas que foram comprometidas em violações de segurança publicamente conhecidas anteriores.Microsoft is aware of third-party websites that enumerate millions of passwords that have been compromised in previous publicly known security breaches. É comum que produtos de validação de senha de terceiros sejam baseados em comparação de força bruta contra essas milhões de senhas.It is common for third-party password validation products to be based on brute-force comparison against those millions of passwords. A Microsoft acredita que essas técnicas não são a melhor maneira de melhorar a intensidade geral da senha, considerando as estratégias típicas usadas pelos invasores de irrigação de senha.Microsoft feels that such techniques are not the best way to improve overall password strength given the typical strategies used by password spray attackers.

Observação

A lista de senhas globais banidas da Microsoft não se baseia em nenhuma fonte de dados de terceiros, incluindo listas de senhas comprometidas.The Microsoft global banned password list is not based whatsoever on any third-party data sources, including compromised password lists.

Embora a lista global de proibidos da Microsoft seja pequena em comparação a algumas listas em massa de terceiros, seus efeitos de segurança são amplificados pelo fato de que ele é originado da telemetria de segurança do mundo real em ataques de irrigação de senha reais, além do fato de que a Microsoft o algoritmo de validação de senha usa técnicas de correspondência de fuzzing inteligente.Although the Microsoft global banned list is small in comparison to some third-party bulk lists, its security effects are amplified by the fact that it is sourced from real-world security telemetry on actual password spray attacks, plus the fact that the Microsoft password validation algorithm uses smart fuzzy-matching techniques. O resultado final é que ele detectará com eficiência e bloqueará a utilização de milhões de senhas fracas mais comuns em sua empresa.The end result is that it will efficiently detect and block millions of the most common weak passwords from being used in your enterprise. Os clientes que optarem por adicionar termos específicos da organização à lista de senhas excluídas personalizada também se beneficiarão do mesmo algoritmo.Customers who choose to add organization-specific terms to the custom banned password list also benefit from the same algorithm.

Informações adicionais sobre problemas de segurança baseados em senha podem ser examinadas em seu PA $ $Word não importa.Additional information on password-based security issues may be reviewed at Your Pa$$word doesn't matter.

Cenários híbridos locaisOn-premises hybrid scenarios

A proteção de contas somente na nuvem é útil, mas muitas organizações mantêm cenários híbridos, incluindo o Windows Server Active Directory local.Protecting cloud-only accounts is helpful but many organizations maintain hybrid scenarios including on-premises Windows Server Active Directory. Os benefícios de segurança da proteção de senha do Azure AD também podem ser estendidos para o ambiente de Active Directory do Windows Server por meio da instalação de agentes locais.The security benefits of Azure AD password protection may also be extended into your Windows Server Active Directory environment via the installation of on-premises agents. Agora, os usuários e administradores que alteram ou redefinem senhas no Active Directory precisam estar em conformidade com a mesma política de senha que os usuários somente de nuvem.Now users and administrators who change or reset passwords in Active Directory are required to comply with the same password policy as cloud-only users.

Como as senhas são avaliadasHow are passwords evaluated

Sempre que um usuário altera ou redefine sua senha, a nova senha é verificada quanto à força e à complexidade, validando-a em relação à lista combinada de termos das listas de senhas excluídas globais e personalizadas (se o último estiver configurado).Whenever a user changes or resets their password, the new password is checked for strength and complexity by validating it against the combined list of terms from the global and custom banned password lists (if the latter is configured).

Mesmo que a senha do usuário contenha uma senha proibida, ela ainda poderá ser aceita se a senha geral for forte o suficiente em outros aspectos.Even if a user’s password contains a banned password, the password may still be accepted if the overall password is strong enough otherwise. Uma senha configurada recentemente passará pelas etapas a seguir para avaliar a força geral e determinar se ela deverá ser aceita ou rejeitada.A newly configured password will go through the following steps to assess its overall strength to determine if it should be accepted or rejected.

Etapa 1: NormalizaçãoStep 1: Normalization

Primeiro, uma nova senha passa por um processo de normalização.A new password first goes through a normalization process. Essa técnica permite que um pequeno conjunto de senhas banidas seja mapeado para um conjunto muito maior de senhas potencialmente fracas.This technique allows for a small set of banned passwords to be mapped to a much larger set of potentially weak passwords.

A normalização tem duas partes.Normalization has two parts. Primeiros, todas as letras maiúsculas são alteradas para letras minúsculas.First, all uppercase letters are changed to lower case. Por exemplo, as substituições de caractere comuns são realizadas, como:Second, common character substitutions are performed, for example:

Letra originalOriginal letter Letra substituídaSubstituted letter
'0''0' 'o''o'
'1''1' 'l''l'
'$''$' 's''s'
'@''@' 'a''a'

Exemplo: suponha que a senha "em branco" seja proibida e um usuário tente alterar a senha para “Bl@nK”.Example: assume that the password “blank” is banned, and a user tries to change their password to “Bl@nK”. Mesmo que “Bl@nk” não seja especificamente proibida, o processo de normalização converterá essa senha como "em branco", que é uma senha banida.Even though “Bl@nk” is not specifically banned, the normalization process converts this password to “blank”, which is a banned password.

Etapa 2: Verificar se a senha é considerada proibidaStep 2: Check if password is considered banned

Comportamento da correspondência difusaFuzzy matching behavior

Correspondência difusa é usada na senha normalizada para identificar se ela contém uma senha encontrada na lista de senhas banidas global ou personalizada.Fuzzy matching is used on the normalized password to identify if it contains a password found on either the global or the custom banned password lists. O processo de correspondência baseia-se em uma distância de edição de comparação de um (1).The matching process is based on an edit distance of one (1) comparison.

Exemplo: suponha que a senha “abcdef” seja proibida e um usuário tente alterar a senha para uma dos seguintes:Example: assume that the password “abcdef” is banned, and a user tries to change their password to one of the following:

‘abcdeg’    (último caractere foi alterado de ‘f’ para ‘g’) ‘abcdefg’   ’(g’ acrescentado ao final) ‘abcde’     (‘f’ à direita excluído do fim)‘abcdeg’    (last character changed from ‘f’ to ‘g’) ‘abcdefg’   ’(g’ appended to end) ‘abcde’     (trailing ‘f’ was deleted from end)

Cada uma das senhas acima não corresponde especificamente à senha banida "abcdef".Each of the above passwords does not specifically match the banned password "abcdef". No entanto, como cada exemplo está dentro de uma distância de edição de 1 do termo banido ' abcdef ', eles são considerados como uma correspondência para "abcdef".However, since each example is within an edit distance of 1 of the banned term ‘abcdef’, they are all considered as a match to “abcdef”.

Correspondência de subcadeia de caracteres (em termos específicos)Substring matching (on specific terms)

A correspondência de subcadeia de caracteres é usada na senha normalizada para verificar o nome e o sobrenome do usuário, bem como o nome do locatário (observe que a correspondência de nome de locatário não é feita ao validar senhas em um controlador de domínio do Active Directory).Substring matching is used on the normalized password to check for the user’s first and last name as well as the tenant name (note that tenant name matching is not done when validating passwords on an Active Directory domain controller).

Exemplo: Suponha que tenhamos um User, pol, que deseja redefinir sua senha para "P0l123fb".Example: assume that we have a user, Pol, who wants to reset their password to “P0l123fb”. Após a normalização, essa senha se tornaria "pol123fb".After normalization, this password would become “pol123fb”. A correspondência de subcadeia de caracteres descobre que a senha contém o nome "pol" do usuário.Substring matching finds that the password contains the user’s first name “Pol”. Embora "P0l123fb" não tenha sido especificamente em uma lista de senhas banidas, a correspondência de subcadeia de caracteres encontrou "pol" na senha.Even though “P0l123fb” was not specifically on either banned password list, substring matching found “Pol" in the password. Portanto, essa senha deve ser rejeitada.Therefore this password would be rejected.

Cálculo de pontuaçãoScore Calculation

A próxima etapa é identificar todas as instâncias de senhas banidas na nova senha normalizada do usuário.The next step is to identify all instances of banned passwords in the user's normalized new password. Em seguida:Then:

  1. Cada senha banida encontrada na senha do usuário recebe um ponto.Each banned password that is found in a user’s password is given one point.
  2. Cada caractere exclusivo restante recebe um ponto.Each remaining unique character is given one point.
  3. Uma senha deve ter pelo menos cinco (5) pontos para ser aceita.A password must be at least five (5) points for it to be accepted.

Para os próximos dois exemplos, vamos supor que a Contoso esteja usando a proteção de senha do Azure AD e tenha "contoso" em suas listas personalizadas.For the next two examples, let’s assume that Contoso is using Azure AD Password Protection and has “contoso” on their custom list. Vamos supor também que "em branco" está na lista global.Let’s also assume that “blank” is on the global list.

Exemplo: um usuário altera sua senha para “C0ntos0Blank12”Example: a user changes their password to “C0ntos0Blank12”

Após a normalização, essa senha se torna “contosoblank12”.After normalization, this password becomes “contosoblank12”. O processo de correspondência localiza que essa senha contém duas senhas banidas: contoso e em branco.The matching process finds that this password contains two banned passwords: contoso and blank. Essa senha então recebe uma pontuação:This password is then given a score:

[contoso] + [blank] + [1] + [2] = 4 pontos já que essa senha está abaixo de cinco (5) pontos, ele será rejeitado.[contoso] + [blank] + [1] + [2] = 4 points Since this password is under five (5) points, it will be rejected.

Exemplo: um usuário altera a senha para "ContoS0Bl@nkf9!".Example: a user changes their password to “ContoS0Bl@nkf9!”.

Após a normalização, essa senha se torna “contosoblankf9!”.After normalization, this password becomes “contosoblankf9!”. O processo de correspondência localiza que essa senha contém duas senhas banidas: contoso e em branco.The matching process finds that this password contains two banned passwords: contoso and blank. Essa senha então recebe uma pontuação:This password is then given a score:

[contoso] + [blank] + [f] + [9] + [!] = 5 pontos, pois essa senha tem pelo menos cinco (5) pontos, é aceita.[contoso] + [blank] + [f] + [9] + [!] = 5 points Since this password is at least five (5) points, it is accepted.

Importante

Observe que o algoritmo de senhas banidas junto com a lista global pode mudar e muda a qualquer momento no Azure com base em análise e pesquisa de segurança contínuas.Please note that the banned password algorithm along with the global list can and do change at any time in Azure based on ongoing security analysis and research. Para o serviço de agente DC local, os algoritmos atualizados só terão efeito depois que o software do agente DC for reinstalado.For the on-premises DC agent service, updated algorithms will only take effect after the DC agent software is re-installed.

Requisitos de licençaLicense requirements

Proteção por senha do AD do Azure com a lista de senhas banidas globalAzure AD password protection with global banned password list Proteção por senha do AD do Azure com a lista de senhas banidas personalizadoAzure AD password protection with custom banned password list
Usuários somente na nuvemCloud-only users AD do Azure GratuitoAzure AD Free O Azure AD Premium P1 ou P2Azure AD Premium P1 or P2
Os usuários sincronizados no local Windows Server Active DirectoryUsers synchronized from on-premises Windows Server Active Directory O Azure AD Premium P1 ou P2Azure AD Premium P1 or P2 O Azure AD Premium P1 ou P2Azure AD Premium P1 or P2

Observação

Os usuários locais do Windows Server Active Directory que não foram sincronizados com Azure Active Directory também têm os benefícios da proteção de senha do Azure AD com base no licenciamento existente para usuários sincronizados.On-premises Windows Server Active Directory users that not synchronized to Azure Active Directory also avail the benefits of Azure AD password protection based on existing licensing for synchronized users.

Informações adicionais sobre licenciamento, incluindo custos, podem ser encontradas no site de preços do Azure Active Directory.Additional licensing information, including costs, can be found on the Azure Active Directory pricing site.

O que os usuários veemWhat do users see

Quando um usuário tentar redefinir uma senha para alguma que seria proibida, a seguinte mensagem de erro será exibida:When a user attempts to reset a password to something that would be banned, they see the following error message:

Infelizmente, sua senha contém uma palavra, uma frase ou um padrão que pode ser facilmente adivinhado.Unfortunately, your password contains a word, phrase, or pattern that makes your password easily guessable. Tente novamente com uma senha diferente.Please try again with a different password.

Próximas etapasNext steps