Hatalı parola kuruluşunuzdaki ortadan kaldırınEliminate bad passwords in your organization

Endüstri liderlerinden aynı parolayı birden fazla yerde karmaşık hale ve "/"Password123 gibi basit yapmamaya kullanmayı söyleyin.Industry leaders tell you not to use the same password in multiple places, to make it complex, and to not make it simple like “Password123”. Kuruluşların kullanıcıları en iyi uygulama kılavuzunu takip ettiğiniz nasıl garanti edebilir?How can organizations guarantee that their users are following best-practice guidance? Nasıl bunlar kullanıcılar zayıf parolalarda Zayıf parolalar veya hatta çeşitlemeleri kullanmadığınız emin olabilirim?How can they make sure users aren't using weak passwords, or even variations on weak passwords?

Daha güçlü parolaların ilk adımı, kullanıcılarınıza rehberlik sağlamaktır.The initial step in having stronger passwords is to provide guidance to your users. Bu konu Microsoft'un geçerli yönergeler aşağıdaki bağlantıda bulunabilir:Microsoft's current guidance on this topic can be found at the following link:

Microsoft parolası KılavuzuMicrosoft Password Guidance

Rehber olması önemli, ancak bile ile zayıf parolalarda seçme çok sayıda kullanıcı yine de sonlandırılacak biliyoruz.Having good guidance is important, but even with that we know that many users will still end up choosing weak passwords. Azure AD parola koruması kuruluşunuz tarafından algılanıyor ve bilinen Zayıf parolalar ve bunların türevleri engelleme, hem de isteğe bağlı olarak, kuruluşunuza özgü ek zayıf koşullar engelleme korur.Azure AD Password Protection protects your organization by detecting and blocking known weak passwords and their variants, as well as optionally blocking additional weak terms that are specific to your organization.

Geçerli güvenlik çalışmaları hakkında daha fazla bilgi için bkz: Microsoft Güvenlik zekası raporu.For more information about current security efforts, see the Microsoft Security Intelligence Report.

Genel yasaklı parola listesiGlobal banned password list

Azure AD kimlik koruması ekibi, Azure AD güvenlik telemetri verileri için yaygın olarak kullanılan zayıf ya da güvenliği aşılmış parolaları veya daha açık belirtmek gerekirse, zayıf, temel olarak Zayıf parolalar için sık kullanılan terimler temel sürekli analiz eder.The Azure AD Identity Protection team constantly analyzes Azure AD security telemetry data looking for commonly used weak or compromised passwords, or more specifically, the weak base terms that often are used as the basis for weak passwords. Bu zayıf koşullarını bulunduğunda, bunlar genel yasaklı parola listesine eklenir.When such weak terms are found, they are added to the global banned password list. Herhangi bir dış veri kaynağı üzerinde genel yasaklı parola listesi içeriğini bağlı değil.The contents of the global banned password list are not based on any external data source. Genel yasaklı parola listesi tamamen Azure AD güvenlik telemetri ve analiz devam eden sonuçlarına bağlıdır.The global banned password list is based entirely on the ongoing results of Azure AD security telemetry and analysis.

Her yeni bir parola değiştirildi veya herhangi bir kiracıdaki tüm kullanıcılar için Azure AD'de sıfırlama genel yasaklı parola listesi geçerli sürümü parolanın güçlülüğünü doğrularken giriş anahtar kullanılır.Whenever a new password is changed or reset for any user in any tenant in Azure AD, the current version of the global banned password list is used as the key input when validating the strength of the password. Bu doğrulama, tüm Azure AD müşterileri için daha güçlü parolalar sonuçlanır.This validation results in much stronger passwords for all Azure AD customers.

Not

Siber suçlular, ayrıca kendi saldırılarında benzer stratejiler kullanır.Cyber-criminals also use similar strategies in their attacks. Bu nedenle Microsoft, bu listenin içeriği herkese açık şekilde yayımlamaz.Therefore Microsoft does not publish the contents of this list publicly.

Özel parola listesine yasaklandıCustom banned password list

Bazı kuruluşlar kendi özelleştirmeleri genel yasaklı parola listesi üzerinde hangi Microsoft özel yasaklı parola listesi çağrıları ekleyerek güvenliği daha da artırmak isteyebilirsiniz.Some organizations may want to improve security even further by adding their own customizations on top of the global banned password list in what Microsoft calls the custom banned password list. Microsoft, bu listeye eklenmesine koşulları öncelikle kuruluşa özgü koşullarınızda gibi odaklanan olduğunu önerir:Microsoft recommends that terms added to this list are primarily focused on organizational-specific terms such as:

  • Marka adlarıBrand names
  • Ürün adlarıProduct names
  • Konum (örneğin, örneğin şirketin merkez)Locations (for example, such as company headquarters)
  • Şirkete özgü iç koşullarıCompany-specific internal terms
  • Özel bir şirket anlamı olan kısaltmalar.Abbreviations that have specific company meaning.

Koşulları özel yasaklı parola listesine eklendikten sonra bunlar için genel yasaklı parola listesi parolaları doğrularken eklenir.Once terms are added to the custom banned password list, they will be added to the global banned password list when validating passwords.

Not

Özel yasaklı parola listesi en fazla 1000 koşulları bulunması sınırlıdır.The custom banned password list is limited to having a maximum of 1000 terms. Bu, son derece büyük listeler parolaların engellemek için tasarlanmamıştır.It is not designed for blocking extremely large lists of passwords. Tam olarak özel yasaklı parola listesi avantajlarından yararlanmak için önce gözden önerir ve parola değerlendirme algoritması anlama (bkz de parolaları nasıl değerlendirilir) yeni koşullarını eklemeden önce Özel Engellenenler listesi.In order to fully leverage the benefits of the custom banned password list, Microsoft recommends that you first review and understand the password evaluation algorithm (see How are passwords evaluated) before adding new terms to the custom banned list. Algoritma works verimli bir şekilde algılayın ve çok sayıda Zayıf parolalar ve bunların türevleri engellemek için kuruluşunuz nasıl olanak sağlayacak anlama.Understanding how the algorithm works will enable your enterprise to efficiently detect and block large numbers of weak passwords and their variants.

Örneğin: "Contoso" Londra'da temel alır ve "Widget" adlı bir ürün yapar, adlı bir müşterinin göz önünde bulundurun.For example: consider a customer named “Contoso”, that is based in London, and that makes a product named “Widget”. Böyle bir müşteri için kısıp hem de bu koşulları belirli çeşitleri gibi engelleyecek şekilde denemek için daha az güvenli şekilde olacaktır:For such a customer, it would be wasteful as well as less secure to try to block specific variations of these terms such as:

  • "Contoso! 1""Contoso!1"
  • "Contoso@London""Contoso@London"
  • "ContosoWidget""ContosoWidget"
  • "! Contoso""!Contoso"
  • "LondonHQ""LondonHQ"
  • ... etcetera...etcetera

Bunun yerine, çok daha verimli ve güvenli yalnızca anahtar temel koşulları engellemek için:Instead, it is much more efficient and secure to block only the key base terms:

  • "Contoso""Contoso"
  • "London""London"
  • "Widget""Widget"

Parola doğrulama algoritması sonra otomatik olarak zayıf çeşitleri ve yukarıdaki birleşimiyle engeller.The password validation algorithm will then automatically block weak variants and combinations of the above.

Özel parola listesi ve şirket içi Active Directory Tümleştirmesi, Azure portalını kullanarak yönetilen sağlama yeteneği yasaklandı.The custom banned password list and the ability to enable on-premises Active Directory integration is managed using the Azure portal.

Özel yasaklı parola listesi kimlik doğrulama yöntemleri altındaki değiştirme

Parola ilaç saldırıları ve üçüncü taraf gizliliği bozulan parola listelerPassword spray attacks and third-party compromised password lists

Bir Azure AD parola koruma avantajı parola ilaç saldırılarına karşı korumaya yardımcı olmak için anahtardır.One key Azure AD password protection benefit is to help you defend against password spray attacks. Çoğu parola ilaç saldırıları, benzer bir davranış algılama, hesap kilitleme veya başka bir yolla aracılığıyla olasılığını önemli ölçüde artırır. bu yana herhangi bir belirli bireysel hesabı birkaç kereden fazla saldırılara karşı çalışmayın.Most password spray attacks do not attempt to attack any given individual account more than a few times since such behavior greatly increases the likelihood of detection, either via account lockout or other means. Parola ilaç saldırıların büyük bölümü, bu nedenle kullanan her biri ile bir kurumsal hesap bilinen Zayıf parolalar yalnızca az sayıda gönderme hakkında.The majority of password spray attacks therefore rely on submitting only a small number of the known weakest passwords against each of the accounts in an enterprise. Bu teknik saldırganın bir kolayca tehlikeye giren hesap olası algılama eşikleri önleme aynı anda sırada hızlıca arayın sağlar.This technique allows the attacker to quickly search for an easily compromised account while at the same time avoiding potential detection thresholds.

Azure AD parola koruması, Azure AD tarafından görülen gerçek güvenlik telemetri verileri temel parola ilaç saldırıları kullanılma olasığılı olan tüm bilinen zayıf parolalarda verimli bir şekilde engelleyecek biçimde tasarlanmıştır.Azure AD password protection is designed to efficiently block all known weak passwords that are likely to be used in password spray attacks, based on real-world security telemetry data as seen by Azure AD. Microsoft önceki genel olarak bilinen güvenlik ihlallerini tehlikeye girmiş parolaları milyonlarca listeleme üçüncü taraf Web sitelerinin farkındadır.Microsoft is aware of third-party websites that enumerate millions of passwords that have been compromised in previous publicly known security breaches. Bu parolalar milyonlarca karşı deneme yanılma karşılaştırma temel için üçüncü taraf parola doğrulaması ürünleri yaygındır.It is common for third-party password validation products to be based on brute-force comparison against those millions of passwords. Microsoft, bu tür teknikler parola ilaç saldırganlar tarafından kullanılan tipik stratejiler verilen genel parola gücünü artırmak için en iyi yolu olmadığını hissettirir.Microsoft feels that such techniques are not the best way to improve overall password strength given the typical strategies used by password spray attackers.

Not

Genel yasaklı parola listesi değil Microsoft, herhangi bir üçüncü taraf veri çubuğunda vermemektedir gizliliği bozulan parola listeleri gibi kaynakları temel.The Microsoft global banned password list is not based whatsoever on any third-party data sources, including compromised password lists.

Microsoft Genel Engellenenler listesi kıyasla bazı üçüncü taraf toplu listeler küçük olsa da, güvenlik etkileri gerçek parola ilaç saldırıların yanı sıra, olgu üzerinde gerçek güvenlik telemetriden alındığından emin olarak yükseltilmiş, Microsoft parola doğrulama algoritması akıllı benzer öğe eşleştirmesi teknikleri kullanır.Although the Microsoft global banned list is small in comparison to some third-party bulk lists, its security effects are amplified by the fact that it is sourced from real-world security telemetry on actual password spray attacks, plus the fact that the Microsoft password validation algorithm uses smart fuzzy-matching techniques. Son Sonuç verimli bir şekilde algılanır ve milyonlarca en yaygın Zayıf parolalar, kuruluşunuzda kullanılmasını engellemek emin olur.The end result is that it will efficiently detect and block millions of the most common weak passwords from being used in your enterprise. Kuruluşa özgü koşulları özel yasaklı parola listesine eklemek için istemeyen müşterilere aynı algoritmadan avantaj sağlıyor.Customers who choose to add organization-specific terms to the custom banned password list also benefit from the same algorithm.

Şirket içi karma senaryolarOn-premises hybrid scenarios

Yalnızca bulut hesapları korumaya yardımcı olur, ancak çoğu kuruluş şirket içi Windows Server Active Directory de dahil olmak üzere karma senaryoları korur.Protecting cloud-only accounts is helpful but many organizations maintain hybrid scenarios including on-premises Windows Server Active Directory. Windows Server Active Directory aracıları var olan altyapınızla yasaklı parola listelerini genişletmek şirket için Azure AD parola koruması yüklemek mümkündür.It is possible to install Azure AD password protection for Windows Server Active Directory agents on-premises to extend the banned password lists to your existing infrastructure. Kullanıcıların ve değiştirmek, yöneticilerin ayarlayın veya sıfırlanmış artık şirket içi yalnızca bulut kullanıcı olarak aynı parola ilkesiyle uyumlu gereklidir.Now users and administrators who change, set, or reset passwords on-premises are required to comply with the same password policy as cloud-only users.

Parolaları nasıl değerlendirilirHow are passwords evaluated

Her bir kullanıcı, değiştirir veya kullanıcının parolasını sıfırlar yeni parola gücü ve karmaşıklığı (ikincisi yapılandırılmışsa), hem genel ve özel yasaklı parola listesi karşı doğrulama tarafından denetlenir.Whenever a user changes or resets their password, the new password is checked for strength and complexity by validating it against both the global and the custom banned password list (if the latter is configured).

Bir kullanıcının parolasını yasaklı parola içeriyorsa bile genel parola yeterince güçlü yanlışsa parola hala kabul.Even if a user’s password contains a banned password, the password may still be accepted if the overall password is strong enough otherwise. Yeni yapılandırılan bir parola, kabul reddedilir veya belirlemek için genel güçlü değerlendirmek için aşağıdaki adımları geçer.A newly configured password will go through the following steps to assess its overall strength to determine if it should be accepted or rejected.

1. adım: NormalleştirmeStep 1: Normalization

Yeni bir parola önce bir normalleştirme sürecinden geçer.A new password first goes through a normalization process. Bu teknik, potansiyel olarak zayıf parolalarda çok daha büyük bir kümesine eşlenecek yasaklı parola küçük bir kümesi için sağlar.This technique allows for a small set of banned passwords to be mapped to a much larger set of potentially weak passwords.

Normalleştirme iki bölümden oluşur.Normalization has two parts. İlk, tüm büyük harfleri küçük harfe dönüştürülür.First, all uppercase letters are changed to lower case. İkinci, ortak karakter değişimler örneğin gerçekleştirilir:Second, common character substitutions are performed, for example:

Özgün harfOriginal letter Değiştirilen harfSubstituted letter
'0''0' ''o'
'1''1' 'l''l'
'$''$' 's''s'
'@''@' 'bir''a'

Örnek: "boş" parola yasaklanmış ve bir kullanıcı için parola değiştirmesini dener varsayılır "Bl@nK".Example: assume that the password “blank” is banned, and a user tries to change their password to “Bl@nK”. Olsa da "Bl@nk" olan özel olarak yasaklanmış bir yasaklı parola olan bu parola için "blank" normalleştirme işlemi dönüştürür.Even though “Bl@nk” is not specifically banned, the normalization process converts this password to “blank”, which is a banned password.

2. adım: Parola yasaklanmış değerlendirilmiyorsa denetimiStep 2: Check if password is considered banned

Benzer eşleştirme davranışıFuzzy matching behavior

Benzer öğe eşleştirmesi normalleştirilmiş parolasını ya da genel üzerinde bulunan bir parola içerir veya özel parola listelerini yasaklanmış tanımlamak için kullanılır.Fuzzy matching is used on the normalized password to identify if it contains a password found on either the global or the custom banned password lists. Eşleştirme işlemi, bir (1) karşılaştırma üzerinde bir düzenleme uzaklık temel alır.The matching process is based on an edit distance of one (1) comparison.

Örnek: "abcdef" parola yasaklanmış ve bir kullanıcı parolasını aşağıdakilerden birini değiştirmeye çalışırsa varsayılır:Example: assume that the password “abcdef” is banned, and a user tries to change their password to one of the following:

'abcdeg'    ('f' değiştirildi karakter son 'g 'tuşlarını) 'abcdefg'   ' (g' sonuna eklenen) 'abcde'     (sondaki 'f' sonundan silindi)‘abcdeg’    (last character changed from ‘f’ to ‘g’) ‘abcdefg’   ’(g’ appended to end) ‘abcde’     (trailing ‘f’ was deleted from end)

Her yukarıdaki parolaların yasaklı parola "abcdef" özellikle eşleşmiyor.Each of the above passwords does not specifically match the banned password "abcdef". Her örneğin bir düzenleme uzaklık 'abcdef' yasaklı döneminin 1 olduğundan, ancak bunlar tüm "abcdef" için bir eşleşme olarak değerlendirilir.However, since each example is within an edit distance of 1 of the banned term ‘abcdef’, they are all considered as a match to “abcdef”.

Alt dize eşleştirme (belirli koşullarda)Substring matching (on specific terms)

Eşleşen alt dizenin normalleştirilmiş parola kullanıcının ilk kontrol edin ve son Kiracı yanı sıra adı için kullanılır (Kiracı adı ile eşleşen bir Active Directory etki alanı denetleyicisindeki parolalarını doğrularken yapılmaz olduğunu unutmayın).Substring matching is used on the normalized password to check for the user’s first and last name as well as the tenant name (note that tenant name matching is not done when validating passwords on an Active Directory domain controller).

Örnek: bir kullanıcı, "P0l123fb" için kullanıcının parolasını sıfırlamasını isteyen Pol sahibiz varsayalım.Example: assume that we have a user, Pol, who wants to reset their password to “P0l123fb”. Normalleştirme sonra bu parola, "pol123fb" hale gelir.After normalization, this password would become “pol123fb”. Parola kullanıcının ilk adını "Pol" içeriyor eşleşen alt dizeyi bulur.Substring matching finds that the password contains the user’s first name “Pol”. Özellikle ya da yasaklı parola listesi üzerinde "P0l123fb" değildi olsa da, altdizgi eşleştirme "Pol" parola bulundu.Even though “P0l123fb” was not specifically on either banned password list, substring matching found “Pol" in the password. Bu parola dolayısıyla reddedilecek.Therefore this password would be rejected.

Puan hesaplanmasındaScore Calculation

Sonraki adım, kullanıcının yeni parolasını normalleştirilmiş yasaklanmış parolalar tüm örneklerini belirlemektir.The next step is to identify all instances of banned passwords in the user's normalized new password. Daha sonra:Then:

  1. Bir kullanıcının parolasını bulunan her bir yasaklı parola bir nokta verilir.Each banned password that is found in a user’s password is given one point.
  2. Geri kalan her benzersiz bir karakteri bir nokta verilir.Each remaining unique character is given one point.
  3. En az beş (5) noktaları bunu kabul edilmesi için bir parola olmalıdır.A password must be at least five (5) points for it to be accepted.

Sonraki iki örnek için Contoso Azure AD parola koruması kullanarak ve "contoso" kendi özel listede olduğunu varsayalım.For the next two examples, let’s assume that Contoso is using Azure AD Password Protection and has “contoso” on their custom list. Ayrıca genel listede "boş" olduğunu varsayalım.Let’s also assume that “blank” is on the global list.

Örnek: kullanıcı parolasını "C0ntos0Blank12 için" değiştirir.Example: a user changes their password to “C0ntos0Blank12”

Normalleştirme sonra bu parola, "contosoblank12" olur.After normalization, this password becomes “contosoblank12”. Bu parola iki yasaklı parola içeren eşleştirme işlemi bulur: contoso ve boş.The matching process finds that this password contains two banned passwords: contoso and blank. Bu parolayı daha sonra bir puan verilmiştir:This password is then given a score:

[contoso] + [boş] + [1] + [2] = 4 nokta bu parolayı altında beş (5) noktaları gerçekleştiği için reddedilir.[contoso] + [blank] + [1] + [2] = 4 points Since this password is under five (5) points, it will be rejected.

Örnek: bir kullanıcı için parola değişiklikleri "ContoS0Bl@nkf9!".Example: a user changes their password to “ContoS0Bl@nkf9!”.

Normalleştirme sonra bu parola, "contosoblankf9!" olur.After normalization, this password becomes “contosoblankf9!”. Bu parola iki yasaklı parola içeren eşleştirme işlemi bulur: contoso ve boş.The matching process finds that this password contains two banned passwords: contoso and blank. Bu parolayı daha sonra bir puan verilmiştir:This password is then given a score:

[contoso] + [boş] + [f] + [9] + [!] = 5 noktaları bu parola en az beş (5) noktaları olduğu kabul edilir.[contoso] + [blank] + [f] + [9] + [!] = 5 points Since this password is at least five (5) points, it is accepted.

Önemli

Genel liste birlikte yasaklı parola algoritması erişebileceği unutmayın ve azure'da devam eden güvenlik analizi ve araştırma göre dilediğiniz zaman değiştirin.Please note that the banned password algorithm along with the global list can and do change at any time in Azure based on ongoing security analysis and research. DC Aracısı yazılımını yeniden yüklenir sonra şirket içi DC Aracısı hizmeti için güncelleştirilmiş algoritmalar yalnızca geçerli olacaktır.For the on-premises DC agent service, updated algorithms will only take effect after the DC agent software is re-installed.

Lisans gereksinimleriLicense requirements

Genel yasaklı parola listesi ile Azure AD parola korumasıAzure AD password protection with global banned password list Özel yasaklı parola listesi ile Azure AD parola korumasıAzure AD password protection with custom banned password list
Yalnızca bulutta yer alan kullanıcılarCloud-only users Azure AD ÜcretsizAzure AD Free Azure AD Premium P1 veya P2Azure AD Premium P1 or P2
Şirket içi Windows Server Active Directory'de eşitlenen kullanıcılarUsers synchronized from on-premises Windows Server Active Directory Azure AD Premium P1 veya P2Azure AD Premium P1 or P2 Azure AD Premium P1 veya P2Azure AD Premium P1 or P2

Not

Azure Active Directory ile eşitlenen olmayan şirket içi Windows Server Active Directory Kullanıcıları, ayrıca mevcut eşitlenmiş kullanıcılar için lisans tabanlı Azure AD parola koruması avantajlarından yararlanabilmek.On-premises Windows Server Active Directory users that not synchronized to Azure Active Directory also avail the benefits of Azure AD password protection based on existing licensing for synchronized users.

Maliyetleri de dahil olmak üzere ek lisans bilgilerini bulunabilir Azure Active Directory site fiyatlandırma.Additional licensing information, including costs, can be found on the Azure Active Directory pricing site.

Kullanıcıların ne görecekWhat do users see

Bir kullanıcı yasaklandı şeye parola sıfırlamaya çalıştığında şu hata iletisini görürler:When a user attempts to reset a password to something that would be banned, they see the following error message:

Ne yazık ki parolanızı bir sözcük, tümcecik veya parolanızı kolayca tahmin edilebilir olmasını sağlayan yapan deseni içerir.Unfortunately, your password contains a word, phrase, or pattern that makes your password easily guessable. Lütfen farklı bir parola ile yeniden deneyin.Please try again with a different password.

Sonraki adımlarNext steps