Descrivere le funzionalità di gestione e protezione delle password
La protezione tramite password è una funzionalità di Microsoft Entra ID che riduce i rischi di impostazione di password vulnerabili da parte degli utenti. Il servizio di protezione delle password di Microsoft Entra rileva e blocca le password vulnerabili note, con le relative varianti, e può bloccare anche termini vulnerabili specifici di un'organizzazione.
In presenza di questo servizio, gli elenchi globali di password vietate vengono applicati automaticamente a tutti gli utenti appartenenti a un tenant di Microsoft Entra. Per supportare specifiche esigenze aziendali e di sicurezza, è comunque possibile definire anche altre voci in un elenco personalizzato di password vietate. Quando gli utenti modificano o reimpostano le password, vengono confrontate con questi elenchi per imporre l'utilizzo di password complesse.
È comunque consigliabile usare funzionalità aggiuntive, come l'autenticazione a più fattori e non limitarsi alle password complesse imposte dal servizio di protezione delle password di Microsoft Entra.
Elenco globale di password escluse
Un elenco globale di password vietate, contenente password vulnerabili note, viene automaticamente aggiornato e applicato da Microsoft. Questo elenco è gestito dal team di Microsoft Entra ID Protection, che analizza i dati di telemetria di sicurezza per trovare eventuali password vulnerabili o compromesse. P@$$w0rd o Passw0rd1 (con tutte le rispettive varianti) costituisce un esempio di password che potrebbe essere bloccata.
Le varianti vengono create usando un algoritmo che traspone lettere in carattere maiuscolo/minuscolo in numeri, ad esempio "1" da "l". Le varianti di Password1 potrebbero essere, ad esempio, Passw0rd1, Pass0rd1 e così via. Queste password vengono quindi controllate e aggiunte all'elenco globale delle password vietate. L'elenco di password vietate globale viene applicato automaticamente a tutti gli utenti in un tenant Microsoft Entra e non può essere disabilitato.
Se un utente di Microsoft Entra ID prova a impostare una di queste password vulnerabili, riceverà una notifica che lo invita a sceglierne una più sicura. L'elenco globale delle password vietate è stato compilato sulla base di attacchi password spraying effettivi. Questo approccio migliora i livelli complessivi di sicurezza ed efficacia, a cui si aggiunge l'algoritmo di convalida delle password, che usa tecniche di corrispondenza fuzzy intelligenti per trovare le stringhe che corrispondono approssimativamente a un criterio. Il servizio di protezione delle password di Microsoft Entra rileva e blocca in modo efficiente milioni di password vulnerabili comunemente usate in azienda.
Elenchi personalizzati di password vietate
Per soddisfare esigenze di sicurezza aziendale specifiche, gli amministratori possono creare anche elenchi personalizzati di password vietate. Con questi elenchi si impedisce in genere di inserire password simili al nome dell'azienda o al luogo in cui si trova. Le password aggiunte all'elenco personalizzato di password vietate devono fare riferimento a termini specifici dell'organizzazione, ad esempio:
- Nomi di marchio
- Nomi di prodotto
- Località, ad esempio la sede centrale aziendale
- Termini interni specifici della società
- Abbreviazioni con un significato specifico per la società
L'elenco personalizzato di password vietate viene combinato con l'elenco globale di password vietate per bloccare anche le varianti di tutte le password.
Gli elenchi di password vietate sono una funzionalità delle licenze Microsoft Entra ID P1 o P2.
\Protezione da password spraying
Il servizio di protezione delle password di Microsoft Entra consente di difendersi da attacchi password spraying. La maggior parte degli attacchi password spraying invia a tutti gli account aziendali solo alcune delle password vulnerabili più comuni. Questa tecnica consente all'autore dell'attacco di cercare in tempi rapidi un account facilmente violabile ed evitare potenziali soglie di rilevamento.
Il servizio di protezione delle password di Microsoft Entra blocca efficacemente tutte le password vulnerabili note che potrebbero essere usate in attacchi di tipo password spraying. Questa protezione si basa sui dati di telemetria di sicurezza reali forniti da Microsoft Entra ID e usati per compilare l'elenco globale delle password vietate.
Sicurezza ibrida
Per realizzare uno scenario di sicurezza ibrida, gli amministratori possono integrare il servizio di protezione delle password di Microsoft Entra con un ambiente Active Directory locale. Un componente installato nell'ambiente locale riceve da Microsoft Entra ID l'elenco globale delle password vietate e i criteri personalizzati per le password di protezione. quindi un controller di dominio usa questi dati per elaborare gli eventi di modifica delle password. Questo approccio ibrido garantisce che venga applicato il servizio di protezione delle password di Microsoft Entra ogni volta che un utente cambia la password personale.
Sebbene il servizio di protezione delle password contribuisca a migliorare l'efficacia delle password, è comunque consigliabile usare funzionalità come l'autenticazione a più fattori. L'utilizzo della sola password, anche se particolarmente efficace, non garantisce la stessa protezione dell'impostazione di più livelli di sicurezza.