Anbefalinger for passordpolicy for Microsoft 365-passord

Ta en titt på alt innholdet vårt for små bedrifter i Hjelp og læring for små bedrifter.

Som administrator for en organisasjon er du ansvarlig for å angi passordpolicyen for brukere i organisasjonen. Det kan være komplisert og forvirrende å angi passordpolicyen, og denne artikkelen gir anbefalinger for å gjøre organisasjonen sikrere mot passordangrep.

Microsoft-kontoer med bare skytjenester har en forhåndsdefinert passordpolicy som ikke kan endres. De eneste elementene du kan endre, er antall dager til et passord utløper, og om passord utløper i det hele tatt.

Hvis du vil finne ut hvor ofte Microsoft 365-passord utløper i organisasjonen, kan du se Angi utløpspolicy for passord for Microsoft 365.

Hvis du vil ha mer informasjon om Microsoft 365-passord, kan du se:

Tilbakestill passord (artikkel)

Angi at passordet til en enkelt bruker aldri skal utløpe (artikkel)

La brukere tilbakestille sine egne passord (artikkel)

Sende en brukers passord på nytt (artikkel)

På tide å revurdere obligatoriske passordendringer.

Forstå passordanbefalinger

God passordpraksis inngår i noen få brede kategorier:

• Motstå vanlige angrepDette innebærer valg hvor brukere oppgir passord (kjente og pålitelige enheter med god oppdagelse av skadelig programvare, validerte nettsteder), og hvilke passord de skal velge (lengde og unikhet).

• Inneholder vellykkede angrep Å inneholde vellykkede hackerangrep handler om å begrense eksponeringen for en spesifikk tjeneste, eller forhindre skaden helt, hvis brukerens passord blir stjålet. For eksempel å sikre at brudd på legitimasjonen for dine sosiale nettverk ikke gjør bankkontoen din sårbar, eller ikke lar en dårlig bevoktet konto godta tilbakestillingslenker for en viktig konto.

• Å forstå menneskets natur Mange gyldige passordpraksiser mislykkes i møte med naturlig, menneskelig atferd. Det er viktig å forstå menneskets natur fordi forskning viser at nesten alle regler du pålegger brukerne, fører til en svekkelse av passordkvaliteten. Lengdekrav, spesielle karakterkrav og krav til passordendring resulterer alle i normalisering av passord, noe som gjør det lettere for angripere å gjette eller knekke passord.

Passordretningslinjer for administratorer

Hovedmålet med et sikrere passordsystem er passordvariasjon. Du vil at passordpolicyen din skal inneholde mange forskjellige passord og passord som er vanskelige å gjette seg frem til. Her er noen anbefalinger for å holde organisasjonen så sikker som mulig.

• Vedlikehold minimumskravet på 14 tegn

• Ikke bruk krav til tegnsammensetning. Eksempel: *&(^%$

• Ikke bruk obligatoriske periodiske tilbakestillinger av passord for brukerkontoer

• Forby vanlige passord for å holde de mest sårbare passordene utenfor systemet ditt

• Lær brukerne å ikke gjenbruke organisasjonspassordene for ikke-arbeidsrelaterte formål

• Håndhev registrering for godkjenning med flere faktorer

• Aktiver risikobaserte utfordringer med godkjenning med flere faktorer

Passordveiledning for brukerne dine

Her er noen passordveiledninger for brukere i organisasjonen. Sørg for å gi brukerne beskjed om disse anbefalingene og håndhev anbefalte passordpolicyer på organisasjonsnivå.

• Ikke bruk et passord som er det samme eller ligner på det du bruker på andre nettsteder

• Ikke bruk et enkelt ord, for eksempel passord eller et ofte brukt uttrykk som Iloveyou

• Gjør passord vanskelig å gjette, selv av personer som vet mye om deg, for eksempel navnene og fødselsdagene til venner og familie, favorittbandene og uttrykkene du liker å bruke

Noen vanlige tilnærminger og deres negative virkninger

De er noen av de mest brukte fremgangsmåtene for passordbehandling, men forskning advarer oss om deres negative virkninger.

Krav til utløp av passord for brukere

Krav til utløp av passord gjør mer skade enn godt, da de får brukerne til å velge forutsigbare passord, sammensatt av sekvensielle ord og tall som er nært knyttet til hverandre. I disse tilfellene kan neste passord forutses, basert på det forrige passordet. Krav til utløp av passord gir ingen fordeler fordi nettkriminelle nesten alltid bruker legitimasjon så snart de kompromitterer dem.

Minimumskrav til passordlengde

Hvis du vil oppfordre brukerne til å tenke på et unikt passord, anbefaler vi at du beholder et rimelig minimumskrav på åtte tegn.

Kreve bruk av flere tegnsett

Krav til passord-kompleksitet reduserer nøkkelplassen, og får brukerne til å handle på forutsigbare måter og gjøre mer skade enn godt. De fleste systemer håndhever et visst nivå til passord-kompleksitet. Passord trenger for eksempel tegn fra alle tre følgende kategorier:

• store bokstaver

• små bokstaver

• ikke-alfanumeriske tegn

De fleste bruker lignende mønstre. For eksempel en stor bokstav i den første posisjonen, et symbol i den siste og et tall i de siste 2. Cyberkriminelle er klar over slike mønstre, så de kjører ordlisteangrepene sine ved hjelp av de vanligste erstatningene, "$" for "s", "@" for "a", "1" for "l". Å tvinge brukerne dine til å velge en kombinasjon av øvre, nedre, sifre og spesialtegn, har en negativ effekt. Noen krav til kompleksitet forhindrer til og med at brukerne bruker passord som er sikre og lette å huske, og tvinger dem til å komme med passord som er mindre sikre og mindre lette å huske.

Vellykkede mønstre

Her er noen anbefalinger for å oppmuntre til passordmangfold.

Forby vanlige passord

Det viktigste passordkravet du bør stille til brukerne dine når du oppretter passord, er å forby bruk av vanlige passord for å redusere organisasjonens mottakelighet for angrep på passord med rå kraft. Vanlige brukerpassord inkluderer: abcdefg, passord, apekatt.

Lær brukerne å ikke bruke organisasjonspassord på nytt noe annet sted

En av de viktigste meldingene for å komme over til brukere i organisasjonen er å ikke bruke organisasjonspassordet på nytt noe annet sted. Bruken av organisasjonspassord på eksterne nettsteder øker sannsynligheten for at nettkriminelle kan kompromittere disse passordene.

Håndhev registrering for godkjenning med flere faktorer

Forsikre deg om at brukerne oppdaterer kontakt- og sikkerhetsinformasjon, for eksempel en alternativ e-postadresse, telefonnummer eller en enhet som er registrert for push-varsler, slik at de kan svare på sikkerhetsutfordringer og bli varslet om sikkerhetshendelser. Oppdatert kontakt- og sikkerhetsinformasjon hjelper brukere for å verifisere identiteten deres hvis de eventuelt har glemt passordet sitt, eller hvis noen andre prøver å overta kontoen deres. Den gir også en ikke-båndvarslingskanal for sikkerhetshendelser, for eksempel påloggingsforsøk eller endrede passord.

For å finne ut mer, se Konfigurer godkjenning med flere faktorer

Aktiver risikobasert godkjenning med flere faktorer

Risikobasert godkjenning med flere faktorer sikrer at når systemet vårt oppdager mistenkelig aktivitet, kan det utfordre brukeren til å sikre at de er den legitime kontoeieren.

Neste trinn

Vil du vite mer om behandling av passord? Her er noen anbefalte lesinger:

• Glem passord, gå passordløs

• Veiledning for Microsoft-passord

• Oppnår sterke nettpassord noe?

• Passordporteføljer og den begrensede innsats-brukeren

• Forhindrer svake passord ved å lese brukernes tanker

• Velge sikre passord

• På tide å revurdere obligatoriske passordendringer

Beslektet innhold

Tilbakestill passord (artikkel)
Angi at passordet til en enkelt bruker aldri skal utløpe (artikkel)
La brukere tilbakestille sine egne passord (artikkel)
Sende en brukers passord på nytt – Admin Hjelp (artikkel)