Popis možností ochrany a správy hesel

  • 4 min

Ochrana heslem je funkce Microsoft Entra ID, která snižuje riziko, že uživatelé nastaví slabá hesla. Ochrana heslem Microsoft Entra detekuje a blokuje známá slabá hesla a jejich varianty a může také blokovat další slabé termíny, které jsou specifické pro vaši organizaci.

S ochranou hesel Microsoft Entra se výchozí globální seznamy zakázaných hesel automaticky použijí pro všechny uživatele v tenantovi Microsoft Entra. Pokud chcete podporovat vlastní potřeby v oblasti podnikání a zabezpečení, můžete definovat položky ve vlastním seznamu zakázaných hesel. Když uživatelé změní nebo resetují svá hesla, zkontrolují se tyto seznamy, aby bylo možné vynutit použití silných hesel.

Měli byste použít další funkce, jako je vícefaktorové ověřování, a ne jen spoléhat na silná hesla vynucená ochranou heslem Microsoft Entra.

Globální seznam zakázaných hesel

Microsoft automaticky aktualizuje a vynucuje globální seznam zakázaných hesel se známými slabými hesly. Tento seznam udržuje tým Microsoft Entra ID Protection, který analyzuje telemetrická data zabezpečení a vyhledá slabá nebo ohrožená hesla. Příklady zablokovaných hesel jsou P@$$w 0rd nebo Passw0rd1 a všechny varianty.

Varianty se vytvářejí pomocí algoritmu, který transponuje textová písmena a písmena na čísla, jako je "1" na "l". Varianty hesla 1 můžou zahrnovat Passw0rd1, Pass0rd1 a další. Tato hesla se pak zaškrtnou a přidají do globálního seznamu zakázaných hesel. Globální seznam zakázaných hesel se automaticky použije pro všechny uživatele v tenantovi Microsoft Entra a nedá se zakázat.

Pokud se uživatel Microsoft Entra pokusí nastavit heslo na jedno z těchto slabých hesel, obdrží oznámení, že zvolí bezpečnější heslo. Globální zakázaný seznam pochází z reálného světa, skutečné útoky password spray. Tento přístup zlepšuje celkové zabezpečení a efektivitu a algoritmus ověřování hesel používá také inteligentní techniky přibližné shody, které se používají k vyhledání řetězců, které přibližně odpovídají vzoru. Ochrana heslem Microsoft Entra efektivně detekuje a blokuje miliony nejběžnějších slabých hesel, aby se používala ve vašem podniku.

Vlastní seznamy zakázaných hesel

Správci můžou také vytvářet vlastní seznamy zakázaných hesel pro podporu konkrétních obchodních potřeb zabezpečení. Vlastní zakázaný seznam hesel zakazuje hesla, jako je název organizace nebo umístění. Hesla přidaná do vlastního seznamu zakázaných hesel by se měla zaměřit na podmínky specifické pro organizaci, například:

  • Značky
  • Názvy produktů
  • Umístění, jako je ústředí společnosti
  • Interní podmínky specifické pro společnost
  • Zkratky, které mají konkrétní význam společnosti

Vlastní seznam zakázaných hesel se kombinuje s globálním zakázaným seznamem hesel, aby se blokovaly varianty všech hesel.

Seznamy zakázaných hesel jsou funkcí licencování Microsoft Entra ID P1 nebo P2.

Snímek obrazovky zobrazující konfigurační obrazovku pro nastavení vlastního seznamu zakázaných hesel

Ochrana před heslem ve spreji

Ochrana heslem Microsoft Entra vám pomůže bránit se proti útokům typu Password Spray. Většina útoků password spray odesílá pouze několik známých nejslabších hesel vůči každému z účtů v podniku. Tato technika umožňuje útočníkovi rychle vyhledat snadno ohrožený účet a vyhnout se potenciálním prahům detekce.

Ochrana heslem Microsoft Entra efektivně blokuje všechna známá slabá hesla, která se pravděpodobně použijí při útocích password spray. Tato ochrana je založená na skutečných datech telemetrie zabezpečení z Microsoft Entra ID, která se používají k vytvoření globálního seznamu zakázaných hesel.

Hybridní zabezpečení

V případě hybridního zabezpečení můžou správci integrovat ochranu hesel Microsoft Entra v rámci místní Active Directory prostředí. Komponenta nainstalovaná v místním prostředí obdrží globální zakázaný seznam hesel a vlastní zásady ochrany hesel od Microsoft Entra ID. Řadiče domény je pak používají ke zpracování událostí změn hesel. Tento hybridní přístup zajišťuje, že bez ohledu na to, jestli uživatel změní heslo, použije se ochrana heslem Microsoft Entra.

I když ochrana heslem zvyšuje sílu hesel, měli byste stále používat funkce osvědčených postupů, jako je vícefaktorové ověřování. Hesla samotná, i silná, nejsou tak zabezpečená jako více vrstev zabezpečení.