Beschreiben des Kennwortschutzes und der Verwaltungsfunktionen

  • 4 Minuten

Der Kennwortschutz ist ein Feature von Microsoft Entra ID, mit dem das Risiko der Erstellung von unsicheren Kennwörtern verringert wird. Der Microsoft Entra-Kennwortschutz erkennt und blockiert bekannte unsichere Kennwörter und deren Varianten und kann außerdem unsichere Ausdrücke blockieren, die spezifisch für Ihre Organisation sind.

Beim Microsoft Entra-Kennwortschutz werden globale Standardlisten mit gesperrten Kennwörtern automatisch auf alle Benutzer eines Microsoft Entra-Mandanten angewendet. Zur Unterstützung Ihrer eigenen Geschäfts- und Sicherheitsanforderungen können Sie Einträge in einer benutzerdefinierten Liste mit gesperrten Kennwörtern definieren. Wenn Benutzer ihre Kennwörter ändern oder zurücksetzen, werden diese anhand von Listen überprüft, um die Nutzung von sicheren Kennwörtern zu erzwingen.

Sie sollten zusätzliche Features wie die Multi-Faktor-Authentifizierung verwenden und sich nicht nur auf die sicheren Kennwörter verlassen, die mit dem Microsoft Entra-Kennwortschutz erzwungen werden.

Liste global gesperrter Kennwörter

Eine globale List mit gesperrten Kennwörtern bestehend aus bekannten unsicheren Kennwörtern wird automatisch aktualisiert und von Microsoft erzwungen. Diese Liste wird vom Team des Microsoft Entra ID-Schutzes verwaltet, das Sicherheitstelemetriedaten analysiert, um unsichere oder kompromittierte Kennwörter zu finden. Beispiele für Kennwörter, die möglicherweise gesperrt werden, sind „P@$$w0rd“ oder „Passw0rd1“ und entsprechende Varianten.

Variationen werden mithilfe eines Algorithmus erstellt, der Groß- und Kleinbuchstaben in Zahlen umwandelt, z. B. „1“ zu „l“. Variationen von „Password1“ können „Passw0rd1“, „Pass0rd1“ und weitere sein. Diese Kennwörter werden dann überprüft und der globalen Liste mit gesperrten Kennwörtern hinzugefügt. Die globale Liste mit gesperrten Kennwörtern wird automatisch auf alle Benutzer in einem Microsoft Entra-Mandanten angewendet und kann nicht deaktiviert werden.

Wenn ein*e Microsoft Entra-Benutzer*in versucht, eines dieser unsicheren Kennwörter zu verwenden, erhält er oder sie eine Benachrichtigung, dass ein sichereres Kennwort gewählt werden muss. Die globale Liste der gesperrten Kennwörter basiert auf realen, tatsächlichen Kennwort-Spray-Angriffen. Dieser Ansatz verbessert die allgemeine Sicherheit und Effektivität, und der Algorithmus zur Validierung von Kennwörtern verwendet auch intelligente Fuzzy Matching-Techniken, um Zeichenfolgen zu finden, die einem Muster ungefähr entsprechen. Mit dem Microsoft Entra-Kennwortschutz können Millionen von häufig genutzten unsicheren Kennwörtern effizient erkannt und für die Verwendung in Ihrem Unternehmen blockiert werden.

Liste benutzerdefinierter gesperrter Kennwörter

Administratoren können auch Listen benutzerdefinierter gesperrter Kennwörter erstellen, um bestimmte Sicherheitsanforderungen des Unternehmens zu unterstützen. Die Liste benutzerdefinierter gesperrter Kennwörter verbietet Kennwörter, die den Organisationsnamen oder -standort enthalten. Bei den Kennwörtern, die der Liste benutzerdefinierter gesperrter Kennwörter hinzugefügt werden, sollte der Schwerpunkt auf organisationsspezifischen Kennwörtern liegen, z. B.:

  • Markennamen
  • Produktnamen
  • Standorte, z. B. die Hauptniederlassung des Unternehmens
  • Interne unternehmensspezifische Ausdrücke
  • Abkürzungen mit einer bestimmten unternehmensspezifischen Bedeutung

Die Liste der benutzerdefinierten gesperrten Kennwörter wird mit der Liste der globalen gesperrten Kennwörter kombiniert, sodass Variationen aller Kennwörter gesperrt werden.

Listen mit gesperrten Kennwörtern sind ein Feature der Microsoft Entra ID P1- oder P2-Lizenzierung.

Ein Bildschirmausschnitt, der einen Konfigurationsbildschirm für die Einrichtung einer benutzerdefinierten Liste mit gesperrten Kennwörtern anzeigt.

Schutz vor Kennwortspray

Der Microsoft Entra-Kennwortschutz hilft Ihnen, sich gegen Kennwort-Spraying-Angriffe zu schützen. Bei der Mehrheit der Kennwort-Spray-Angriffe wird nur eine geringe Anzahl von bekannten sehr unsicheren Kennwörtern für die einzelnen Konten eines Unternehmens übermittelt. Dieses Verfahren ermöglicht es dem Angreifer, schnell nach einem leicht zu kompromittierenden Konto zu suchen und mögliche Schwellenwerte für die Erkennung zu vermeiden.

Beim Microsoft Entra-Kennwortschutz werden alle bekannten unsicheren Kennwörter, die ggf. bei Kennwort-Spraying-Angriffen zum Einsatz kommen, effizient gesperrt. Dieser Schutz basiert auf realen Sicherheitstelemetriedaten von Microsoft Entra ID, mit denen die globale Liste mit gesperrten Kennwörtern erstellt wird.

Hybridsicherheit

Zum Erzielen von Hybridsicherheit können Administratoren den Microsoft Entra-Kennwortschutz in eine lokale Active Directory-Umgebung integrieren. Eine in der lokalen Umgebung installierte Komponente erhält die globale Liste mit gesperrten Kennwörtern und die benutzerdefinierten Richtlinien zum Kennwortschutz von Microsoft Entra. Domänencontroller verwenden sie dann zum Verarbeiten von Kennwortänderungsereignissen. Mit dem Hybridansatz wird sichergestellt, dass der Microsoft Entra-Kennwortschutz angewendet wird, wann immer ein Benutzer sein Kennwort ändert.

Obwohl der Kennwortschutz die Sicherheit von Kennwörtern verbessert, sollten Sie dennoch Best Practices-Features wie die Multi-Faktor-Authentifizierung verwenden. Kennwörter allein, selbst sichere, sind nicht so sicher wie mehrstufige Sicherheitsebenen.