Hatalı parola kuruluşunuzdaki ortadan kaldırınEliminate bad passwords in your organization

Endüstri liderlerinden aynı parolayı birden fazla yerde karmaşık hale ve/Password123 gibi basit yapmamaya kullanmayı söyleyin.Industry leaders tell you not to use the same password in multiple places, to make it complex, and to not make it simple like Password123. Kuruluşların kullanıcıları kılavuzu takip ettiğiniz nasıl garanti edebilir?How can organizations guarantee that their users are following guidance? Nasıl bunlar kullanıcıların yaygın parolaları veya son veri ihlalleriyle dahil edilecek bilinen parolaları kullanmadığı emin olabilirim?How can they make sure users aren't using common passwords or passwords that are known to be included in recent data breaches?

Genel yasaklı parola listesiGlobal banned password list

Microsoft, siber suçluların her zaman bir adım önünde olmak için çalışmaktadır.Microsoft is always working to stay one step ahead of cyber-criminals. Bu nedenle Azure AD kimlik koruması ekibi için yaygın olarak kullanılan ve güvenliği aşılan parolaları sürekli olarak arayın.Therefore the Azure AD Identity Protection team continually look for commonly used and compromised passwords. Bunlar ardından genel yasaklı parola listesi çağrılma yeri çok yaygın olarak kabul edilen bu parolaları engelleyin.They then block those passwords that are deemed too common in what is called the global banned password list. Siber suçlular kendi saldırılarında de benzer stratejiler kullanır, bu nedenle Microsoft, bu listenin içeriği herkese açık şekilde yayımlamaz.Cyber-criminals also use similar strategies in their attacks, therefore Microsoft does not publish the contents of this list publicly. Bu güvenlik açığı olan parolaların Microsoft müşterileri için gerçek bir tehdit haline gelmeden önce engellenir.These vulnerable passwords are blocked before they become a real threat to Microsoft's customers. Geçerli güvenlik çalışmaları hakkında daha fazla bilgi için bkz: Microsoft Güvenlik zekası raporu.For more information about current security efforts, see the Microsoft Security Intelligence Report.

Özel yasaklanan parola listesiCustom banned password list

Bazı kuruluşlar kendi özelleştirmeleri genel yasaklı parola listesi üzerinde hangi Microsoft özel yasaklı parola listesi çağrıları ekleyerek güvenlik bir adım daha ileri almak isteyebilirsiniz.Some organizations may want to take security one step further by adding their own customizations on top of the global banned password list in what Microsoft calls the custom banned password list. Kurumsal müşteriler gibi contoso marka adları, şirketinize özgü koşulları veya diğer öğeleri türevleri engellemek seçebilirsiniz.Enterprise customers like Contoso could then choose to block variants of their brand names, company-specific terms, or other items.

Özel parola listesi ve şirket içi Active Directory Tümleştirmesi, Azure portalını kullanarak yönetilen sağlama yeteneği yasaklandı.The custom banned password list and the ability to enable on-premises Active Directory integration is managed using the Azure portal.

Özel yasaklı parola listesi kimlik doğrulama yöntemleri altındaki değiştirme

Şirket içi karma senaryolarOn-premises hybrid scenarios

Yalnızca bulut hesapları korumaya yardımcı olur, ancak çoğu kuruluş şirket içi Windows Server Active Directory de dahil olmak üzere karma senaryoları korur.Protecting cloud-only accounts is helpful but many organizations maintain hybrid scenarios including on-premises Windows Server Active Directory. Windows Server Active Directory aracıları var olan altyapınızla yasaklı parola listelerini genişletmek şirket için Azure AD parola koruması yüklemek mümkündür.It is possible to install Azure AD password protection for Windows Server Active Directory agents on-premises to extend the banned password lists to your existing infrastructure. Kullanıcıların ve değiştirmek, yöneticilerin ayarlayın veya sıfırlanmış artık şirket içi yalnızca bulut kullanıcı olarak aynı parola ilkesiyle uyumlu gereklidir.Now users and administrators who change, set, or reset passwords on-premises are required to comply with the same password policy as cloud-only users.

Parolaları nasıl değerlendirilirHow are passwords evaluated

Her bir kullanıcı, değiştirir veya kullanıcının parolasını sıfırlar yeni parola gücü ve karmaşıklığı (ikincisi yapılandırılmışsa), hem genel ve özel yasaklı parola listesi karşı doğrulama tarafından denetlenir.Whenever a user changes or resets their password, the new password is checked for strength and complexity by validating it against both the global and the custom banned password list (if the latter is configured).

Bir kullanıcının parolasını yasaklı parola içeriyorsa bile genel parola yeterince güçlü yanlışsa parola hala kabul.Even if a user’s password contains a banned password, the password may still be accepted if the overall password is strong enough otherwise. Yeni yapılandırılan bir parola, kabul reddedilir veya belirlemek için genel güçlü değerlendirmek için aşağıdaki adımları geçer.A newly configured password will go through the following steps to assess its overall strength to determine if it should be accepted or rejected.

1. Adım: NormalleştirmeStep 1: Normalization

Yeni bir parola önce bir normalleştirme sürecinden geçer.A new password first goes through a normalization process. Bu yasaklı parola küçük bir kümesi için bir çok daha büyük olabilecek zayıf parolalarda kümesine eşlenecek sağlar.This allows for a small set of banned passwords to be mapped to a much larger set of potentially weak passwords.

Normalleştirme iki bölümden oluşur.Normalization has two parts. İlk, tüm büyük harfleri küçük harfe dönüştürülür.First, all uppercase letters are changed to lower case. İkinci, ortak karakter değişimler örneğin gerçekleştirilir:Second, common character substitutions are performed, for example:

Özgün harfOriginal letter Değiştirilen harfSubstituted letter
'0''0' ''o'
'1''1' 'l''l'
'$''$' 's''s'
'@''@' 'bir''a'

Örnek: "boş" parola yasaklanmış ve bir kullanıcı için parola değiştirmesini dener varsayılır "Bl@nK".Example: assume that the password “blank” is banned, and a user tries to change their password to “Bl@nK”. Olsa da "Bl@nk" olan özel olarak yasaklanmış bir yasaklı parola olan bu parola için "blank" normalleştirme işlemi dönüştürür.Even though “Bl@nk” is not specifically banned, the normalization process converts this password to “blank”, which is a banned password.

2. Adım: Parola yasaklanmış değerlendirilmiyorsa denetimiStep 2: Check if password is considered banned

Benzer eşleştirme davranışıFuzzy matching behavior

Benzer öğe eşleştirmesi normalleştirilmiş parolasını ya da genel üzerinde bulunan bir parola içerir veya özel parola listelerini yasaklanmış tanımlamak için kullanılır.Fuzzy matching is used on the normalized password to identify if it contains a password found on either the global or the custom banned password lists. Eşleştirme işlemi, bir (1) karşılaştırma üzerinde bir düzenleme uzaklık temel alır.The matching process is based on an edit distance of one (1) comparison.

Örnek: "abcdef" parola yasaklanmış ve bir kullanıcı parolasını aşağıdakilerden birini değiştirmeye çalışırsa varsayılır:Example: assume that the password “abcdef” is banned, and a user tries to change their password to one of the following:

'abcdeg'    ('f' değiştirildi karakter son 'g 'tuşlarını) 'abcdefg'   ' (g' sonuna eklenen) 'abcde'     (sondaki 'f' sonundan silindi)‘abcdeg’    (last character changed from ‘f’ to ‘g’) ‘abcdefg’   ’(g’ appended to end) ‘abcde’     (trailing ‘f’ was deleted from end)

Her yukarıdaki parolaların yasaklı parola "abcdef" özellikle eşleşmiyor.Each of the above passwords does not specifically match the banned password "abcdef". Her örneğin bir düzenleme uzaklık yasaklı belirteci 'abcdef' ın 1 olduğundan, ancak bunlar tüm "abcdef" için bir eşleşme olarak değerlendirilir.However, since each example is within an edit distance of 1 of the banned token ‘abcdef’, they are all considered as a match to “abcdef”.

Alt dize eşleştirme (belirli koşullarda)Substring matching (on specific terms)

Eşleşen alt dizenin normalleştirilmiş parola kullanıcının ilk kontrol edin ve son Kiracı yanı sıra adı için kullanılır (Kiracı adı ile eşleşen bir Active Directory etki alanı denetleyicisindeki parolalarını doğrularken yapılmaz olduğunu unutmayın).Substring matching is used on the normalized password to check for the user’s first and last name as well as the tenant name (note that tenant name matching is not done when validating passwords on an Active Directory domain controller).

Örnek: bir kullanıcı için "J0hn123fb" parolasını sıfırlamak için istediği John Doe sahibiz varsayalım.Example: assume that we have a user John Doe that wants to reset his password to “J0hn123fb”. Normalleştirme sonra bu parola, "john123fb" hale gelir.After normalization, this password would become “john123fb”. Parola kullanıcının ilk adını "John" içeriyor eşleşen alt dizeyi bulur.Substring matching finds that the password contains the user’s first name “John”. Özellikle ya da yasaklı parola listesi üzerinde "J0hn123fb" değildi olsa da, altdizgi eşleştirme "John" parola bulundu.Even though “J0hn123fb” was not specifically on either banned password list, substring matching found “John" in the password. Bu parola dolayısıyla reddedilecek.Therefore this password would be rejected.

Puan hesaplanmasındaScore Calculation

Sonraki adım, kullanıcının yeni parolasını normalleştirilmiş yasaklanmış parolalar tüm örneklerini belirlemektir.The next step is to identify all instances of banned passwords in the user's normalized new password. Daha sonra:Then:

  1. Bir kullanıcının parolasını bulunan her bir yasaklı parola bir nokta verilir.Each banned password that is found in a user’s password is given one point.
  2. Geri kalan her benzersiz bir karakteri bir nokta verilir.Each remaining unique character is given one point.
  3. En az 5 nokta bunu kabul edilmesi için bir parola olmalıdır.A password must be at least 5 points for it to be accepted.

Sonraki iki örnek için Contoso Azure AD parola koruması kullanarak ve "contoso" kendi özel listede olduğunu varsayalım.For the next two examples, let’s assume that Contoso is using Azure AD Password Protection and has “contoso” on their custom list. Ayrıca genel listede "boş" olduğunu varsayalım.Let’s also assume that “blank” is on the global list.

Örnek: kullanıcı parolasını "C0ntos0Blank12 için" değiştirir.Example: a user changes their password to “C0ntos0Blank12”

Normalleştirme sonra bu parola, "contosoblank12" olur.After normalization, this password becomes “contosoblank12”. Bu parola iki yasaklı parola içeren eşleştirme işlemi bulur: contoso ve boş.The matching process finds that this password contains two banned passwords: contoso and blank. Bu parolayı daha sonra bir puan verilmiştir:This password is then given a score:

[contoso] + [boş] + [1] + [2] = 4 nokta bu parolayı 5 noktaları altında olduğundan, reddedilir.[contoso] + [blank] + [1] + [2] = 4 points Since this password is under 5 points, it will be rejected.

Örnek: bir kullanıcı için parola değişiklikleri "ContoS0Bl@nkf9!".Example: a user changes their password to “ContoS0Bl@nkf9!”.

Normalleştirme sonra bu parola, "contosoblankf9!" olur.After normalization, this password becomes “contosoblankf9!”. Bu parola iki yasaklı parola içeren eşleştirme işlemi bulur: contoso ve boş.The matching process finds that this password contains two banned passwords: contoso and blank. Bu parolayı daha sonra bir puan verilmiştir:This password is then given a score:

[contoso] + [boş] + [f] + [9] + [!] = 5 noktaları bu parola en az 5 nokta olduğu kabul edilir.[contoso] + [blank] + [f] + [9] + [!] = 5 points Since this password is at least 5 points, it is accepted.

Önemli

Genel liste birlikte yasaklı parola algoritması erişebileceği unutmayın ve azure'da devam eden güvenlik analizi ve araştırma göre dilediğiniz zaman değiştirin.Please note that the banned password algorithm along with the global list can and do change at any time in Azure based on ongoing security analysis and research. DC Aracısı yazılımını yeniden yüklenir sonra şirket içi DC Aracısı hizmeti için güncelleştirilmiş algoritmalar yalnızca geçerli olacaktır.For the on-premises DC agent service, updated algorithms will only take effect after the DC agent software is re-installed.

Lisans gereksinimleriLicense requirements

Genel yasaklı parola listesi ile Azure AD parola korumasıAzure AD password protection with global banned password list Özel yasaklı parola listesi ile Azure AD parola korumasıAzure AD password protection with custom banned password list
Yalnızca bulutta yer alan kullanıcılarCloud-only users Azure AD ÜcretsizAzure AD Free Azure AD Premium P1 veya P2Azure AD Premium P1 or P2
Şirket içi Windows Server Active Directory'de eşitlenen kullanıcılarUsers synchronized from on-premises Windows Server Active Directory Azure AD Premium P1 veya P2Azure AD Premium P1 or P2 Azure AD Premium P1 veya P2Azure AD Premium P1 or P2

Not

Azure Active Directory ile eşitlenen olmayan şirket içi Windows Server Active Directory Kullanıcıları, ayrıca mevcut eşitlenmiş kullanıcılar için lisans tabanlı Azure AD parola koruması avantajlarından yararlanabilmek.On-premises Windows Server Active Directory users that not synchronized to Azure Active Directory also avail the benefits of Azure AD password protection based on existing licensing for synchronized users.

Maliyetleri de dahil olmak üzere ek lisans bilgilerini bulunabilir Azure Active Directory site fiyatlandırma.Additional licensing information, including costs, can be found on the Azure Active Directory pricing site.

Kullanıcıların ne görecekWhat do users see

Bir kullanıcı yasaklandı şeye parola sıfırlamaya çalıştığında şu hata iletisini görürler:When a user attempts to reset a password to something that would be banned, they see the following error message:

Ne yazık ki parolanızı bir sözcük, tümcecik veya parolanızı kolayca tahmin edilebilir olmasını sağlayan yapan deseni içerir.Unfortunately, your password contains a word, phrase, or pattern that makes your password easily guessable. Lütfen farklı bir parola ile yeniden deneyin.Please try again with a different password.

Sonraki adımlarNext steps