Eliminera dåliga lösenord med hjälp Azure Active Directory lösenordsskydd
Många säkerhetsvägledning rekommenderar att du inte använder samma lösenord på flera platser, att göra det komplext och att undvika enkla lösenord som Password123. Du kan ge användarna vägledning om hurde väljer lösenord, men svaga eller osäkra lösenord används fortfarande. Azure AD-lösenordsskydd identifierar och blockerar kända svaga lösenord och deras varianter, och kan även blockera ytterligare svaga termer som är specifika för din organisation.
Med Azure AD-lösenordsskydd tillämpas standardlistorna över globala förbjudna lösenord automatiskt på alla användare i en Azure AD-klientorganisation. För att stödja dina egna affärs- och säkerhetsbehov kan du definiera poster i en anpassad lista med förbjudna lösenord. När användarna ändrar eller återställer sina lösenord kontrolleras dessa listor över förbjudna lösenord för att framtvinga användning av starka lösenord.
Du bör använda ytterligare funktioner som Azure AD Multi-Factor Authentication, inte bara förlita dig på starka lösenord som framtvingas av Azure AD-lösenordsskydd. Mer information om hur du använder flera säkerhetslager för inloggningshändelser finns i Din Pa$$word spelar ingen roll.
Viktigt
Den här konceptuella artikeln förklarar för en administratör hur Azure AD-lösenordsskydd fungerar. Om du är en slutanvändare som redan har registrerats för självbetjäning av lösenordsåterställning och behöver komma tillbaka till ditt konto går du till https://aka.ms/sspr .
Om IT-teamet inte har aktiverat möjligheten att återställa ett eget lösenord kan du kontakta supporten för ytterligare hjälp.
Global lista över förbjudna lösenord
Teamet Azure AD Identity Protection ständigt telemetridata för Azure AD-säkerhet och letar efter vanliga svaga eller komprometterade lösenord. Mer specifikt letar analysen efter bastermer som ofta används som grund för svaga lösenord. När svaga termer hittas läggs de till i den globala listan över förbjudna lösenord. Innehållet i den globala listan över förbjudna lösenord baseras inte på någon extern datakälla, utan på resultatet av säkerhetstelemetri och analys i Azure AD.
När ett lösenord ändras eller återställs för en användare i en Azure AD-klientorganisation används den aktuella versionen av listan över globala förbjudna lösenord för att verifiera styrkan hos lösenordet. Den här verifieringskontrollen resulterar i starkare lösenord för alla Azure AD-kunder.
Den globala listan över förbjudna lösenord tillämpas automatiskt på alla användare i en Azure AD-klientorganisation. Det finns inget att aktivera eller konfigurera och kan inte inaktiveras. Den här globala listan över förbjudna lösenord tillämpas på användare när de ändrar eller återställer sina egna lösenord via Azure AD.
Anteckning
Cyberbrottsligheter använder också liknande strategier i sina attacker för att identifiera vanliga svaga lösenord och variationer. För att förbättra säkerheten publicerar Inte Microsoft innehållet i den globala listan över förbjudna lösenord.
Lista över anpassade förbjudna lösenord
Vissa organisationer vill förbättra säkerheten och lägga till sina egna anpassningar ovanpå listan över globalt förbjudna lösenord. Om du vill lägga till egna poster kan du använda den anpassade listan över förbjudna lösenord. Termer som läggs till i listan över anpassade förbjudna lösenord ska fokusera på organisationsspecifika termer, till exempel följande exempel:
- Varumärken
- Produktnamn
- Platser, till exempel företagets huvudkontor
- Företagsspecifika interna villkor
- Förkortningar som har en specifik företagsmening
När villkoren läggs till i listan över anpassade förbjudna lösenord kombineras de med villkoren i listan över globala förbjudna lösenord. Händelser för ändring eller återställning av lösenord verifieras sedan mot den kombinerade uppsättningen av dessa listor med förbjudna lösenord.
Anteckning
Listan över anpassade förbjudna lösenord är begränsad till högst 1 000 villkor. Det är inte utformat för att blockera extremt stora listor med lösenord.
För att dra full nytta av fördelarna med listan över anpassade förbjudna lösenord måste du först förstå hur lösenord utvärderas innan du lägger till villkor i den anpassade listan över förbjudna lösenord. Med den här metoden kan du effektivt identifiera och blockera ett stort antal svaga lösenord och deras varianter.
Nu ska vi titta på en kund med namnet Contoso. Företaget är baserat i London och skapar en produkt med namnet Widget. För den här exempelkunden skulle det vara slöseri och mindre säkert att försöka blockera specifika varianter av dessa villkor, till exempel följande:
- "Contoso!1"
- "Contoso@London"
- "ContosoWidget"
- "! Contoso"
- "LondonHQ"
I stället är det mycket mer effektivt och säkert att endast blockera nyckelgrundtermerna, till exempel följande exempel:
- ”Contoso”
- "London"
- "Widget"
Algoritmen för lösenordsverifiering blockerar sedan automatiskt svaga varianter och kombinationer.
Om du vill komma igång med att använda en anpassad lista över förbjudna lösenord slutför du följande självstudie:
Lösenordsattack attacker och listor över komprometterade lösenord från tredje part
Azure AD-lösenordsskydd hjälper dig att skydda dig mot lösenordsattacker. De flesta attacker med lösenordsattacker försöker inte attackera ett visst enskilt konto mer än ett par gånger. Det här beteendet ökar sannolikheten för identifiering, antingen via kontolåsning eller på annat sätt.
I stället skickar de flesta lösenordsattacker bara ett litet antal av de kända svagaste lösenorden mot var och en av kontona i ett företag. Med den här tekniken kan angripare snabbt söka efter ett konto som är lätt att komprometterat och undvika potentiella tröskelvärden för identifiering.
Azure AD-lösenordsskydd blockerar effektivt alla kända svaga lösenord som sannolikt kommer att användas i lösenordsattacker. Det här skyddet baseras på verkliga telemetridata om säkerhet från Azure AD för att skapa den globala listan över förbjudna lösenord.
Det finns vissa webbplatser från tredje part som räknar upp miljontals lösenord som har komprometterats i tidigare offentligt kända säkerhetsöverträdelser. Det är vanligt att produkter för lösenordsverifiering från tredje part baseras på råstyrkkraftsjämförelse mot dessa miljontals lösenord. Dessa tekniker är dock inte det bästa sättet att förbättra den övergripande lösenordsstyrkan med tanke på de vanliga strategier som används av lösenordsutmanare.
Anteckning
Den globala listan över förbjudna lösenord baseras inte på datakällor från tredje part, inklusive listor över komprometterade lösenord.
Även om den globala listan över förbjudna är liten jämfört med vissa masslistor från tredje part, kommer den från verkliga säkerhetstelemetri vid faktiska attacker med lösenordsattacker. Den här metoden förbättrar den övergripande säkerheten och effektiviteten, och algoritmen för lösenordsvalidering använder också smarta fuzzy-matchande tekniker. Därför identifierar och blockerar Azure AD-lösenordsskydd effektivt miljontals svaga lösenord från att användas i företaget.
Lokala hybridscenarier
Många organisationer har en hybrididentitetsmodell som innehåller lokal Active Directory Domain Services (AD DS)-miljöer. Om du vill utöka säkerhetsfördelarna med Azure AD-lösenordsskydd till din AD DS-miljö kan du installera komponenter på dina lokala servrar. Dessa agenter kräver lösenordsändringshändelser i den lokala AD DS-miljön för att uppfylla samma lösenordsprincip som i Azure AD.
Mer information finns i Enforce Azure AD Password Protection for AD DS (Framtvinga Azure AD-lösenordsskydd för AD DS).
Hur utvärderas lösenord?
När en användare ändrar eller återställer sitt lösenord kontrolleras det nya lösenordets styrka och komplexitet genom att verifiera det mot den kombinerade listan med villkor från listorna över globala och anpassade förbjudna lösenord.
Även om en användares lösenord innehåller ett förbjudet lösenord kan lösenordet godkännas om det övergripande lösenordet annars är tillräckligt starkt. Ett nyligen konfigurerat lösenord går igenom följande steg för att utvärdera dess övergripande styrka för att avgöra om det ska godkännas eller avvisas:
Steg 1: Normalisering
Ett nytt lösenord går först igenom en normaliseringsprocess. Med den här tekniken kan en liten uppsättning förbjudna lösenord mappas till en mycket större uppsättning potentiellt svaga lösenord.
Normalisering har följande två delar:
Alla versaler ändras till gemener.
Sedan utförs vanliga teckenersättningar, till exempel i följande exempel:
Ursprunglig bokstav Ersätten bokstav 0 o 1 l $ s @ a
Se följande exempel:
- Lösenordet "blank" är förbjudet.
- En användare försöker ändra sitt lösenord till " Bl@nK ".
- Även om " Bl@nk " inte är förbjuden konverterar normaliseringsprocessen det här lösenordet till "tomt".
- Det här lösenordet avvisas.
Steg 2: Kontrollera om lösenord anses vara förbjudna
Ett lösenord undersöks sedan för andra matchande beteenden och en poäng genereras. Den här slutresultatet avgör om begäran om lösenordsändring godkänns eller avvisas.
Fuzzy-matchningsbeteende
Fuzzy-matchning används på det normaliserade lösenordet för att identifiera om det innehåller ett lösenord som finns i antingen listorna över globala eller anpassade förbjudna lösenord. Matchningsprocessen baseras på ett redigeringsavstånd på en (1) jämförelse.
Se följande exempel:
Lösenordet "abcdef" är förbjudet.
En användare försöker ändra sitt lösenord till något av följande:
- "abcdeg" – sista tecknet har ändrats från "f" till "g"
- "abcdefg" – "g" läggs till i slutet
- "abcde" – avslutande "f" har tagits bort från slutet
Vart och ett av ovanstående lösenord matchar inte specifikt det förbjudna lösenordet "abcdef".
Men eftersom varje exempel ligger inom ett redigeringsavstånd på 1 av den förbjudna termen "abcdef" betraktas alla som en matchning till "abcdef".
Dessa lösenord avvisas.
Matchning av delsträngar (på specifika termer)
Matchning av delsträng används på det normaliserade lösenordet för att söka efter användarens för- och efternamn samt klientorganisationens namn. Matchning av klientnamn görs inte vid validering av lösenord på en AD DS-domänkontrollant för lokala hybridscenarier.
Viktigt
Matchning av delsträngar tillämpas endast för namn och andra termer som är minst fyra tecken långa.
Se följande exempel:
- En användare med namnet Poll som vill återställa sitt lösenord till "p0LL23fb".
- Efter normaliseringen blir det här lösenordet "poll23fb".
- Matchning av delsträng hittar att lösenordet innehåller användarens förnamn "Poll".
- Även om "poll23fb" inte fanns med specifikt i listan över förbjudna lösenord hittade delsträngsmatchning "Poll" i lösenordet.
- Det här lösenordet avvisas.
Poängberäkning
Nästa steg är att identifiera alla instanser av förbjudna lösenord i användarens normaliserade nya lösenord. Punkter tilldelas baserat på följande kriterier:
- Varje förbjudna lösenord som finns i en användares lösenord ges en punkt.
- Varje återstående tecken som inte är en del av ett förbjudet lösenord ges en punkt.
- Ett lösenord måste innehålla minst fem (5) punkter för att godkännas.
I följande två exempelscenarier använder Contoso Azure AD-lösenordsskydd och har "contoso" på listan över anpassade förbjudna lösenord. Vi antar också att "tomt" finns med i den globala listan.
I följande exempelscenario ändrar en användare sitt lösenord till "C0ntos0Blank12":
Efter normaliseringen blir det här lösenordet "contosoblank12".
Matchningsprocessen upptäcker att det här lösenordet innehåller två förbjudna lösenord: "contoso" och "blank".
Det här lösenordet får sedan följande poäng:
[contoso] + [tomt] + [1] + [2] = 4 punkter
Eftersom det här lösenordet är under fem (5) punkter avvisas det.
Nu ska vi titta på ett lite annorlunda exempel för att visa hur ytterligare komplexitet i ett lösenord kan skapa det antal punkter som krävs för att godkännas. I följande exempelscenario ändrar en användare sitt lösenord till " ContoS0Bl@nkf9 !":
Efter normaliseringen blir det här lösenordet "contosoblankf9!".
Matchningsprocessen upptäcker att det här lösenordet innehåller två förbjudna lösenord: "contoso" och "blank".
Det här lösenordet får sedan följande poäng:
[contoso] + [tomt] + [f] + [9] + [!] = 5 punkter
Eftersom det här lösenordet är minst fem (5) punkter godkänns det.
Viktigt
Den förbjudna lösenordsalgoritmen, tillsammans med listan över globala förbjudna lösenord, kan och ändras när som helst i Azure baserat på pågående säkerhetsanalys och forskning.
För den lokala DC-agenttjänsten i hybridscenarier gäller uppdaterade algoritmer först när DC-agentens programvara har uppgraderats.
Vad ser användarna
När en användare försöker återställa eller ändra ett lösenord till något som skulle förbjudits visas något av följande felmeddelanden:
"Lösenordet innehåller tyvärr ett ord, en fras eller ett mönster som gör det enkelt att gissa lösenordet. Försök igen med ett annat lösenord."
"Vi har sett lösenordet för många gånger tidigare. Välj något som är svårare att gissa."
"Välj ett lösenord som är svårare för personer att gissa."
Licenskrav
| Användare | Azure AD-lösenordsskydd med global lista över förbjudna lösenord | Azure AD-lösenordsskydd med anpassad lista över förbjudna lösenord |
|---|---|---|
| Endast molnbaserade användare | Azure AD Kostnadsfri | Azure AD Premium P1 eller P2 |
| Användare som synkroniseras från lokal AD DS | Azure AD Premium P1 eller P2 | Azure AD Premium P1 eller P2 |
Anteckning
Lokala AD DS-användare som inte synkroniseras till Azure AD drar också nytta av Azure AD-lösenordsskydd baserat på befintlig licensiering för synkroniserade användare.
Ytterligare licensinformation, inklusive kostnader, finns på Azure Active Directory prissättningswebbplatsen.
Nästa steg
Om du vill komma igång med att använda en anpassad lista över förbjudna lösenord slutför du följande självstudie:
Sedan kan du aktivera lokalt Azure AD-lösenordsskydd.