Mogelijkheden voor wachtwoordbeveiliging en -beheer beschrijven

  • 4 minuten

Wachtwoordbeveiliging is een functie van Microsoft Entra-id die het risico vermindert dat gebruikers zwakke wachtwoorden instellen. Microsoft Entra-wachtwoordbeveiliging detecteert en blokkeert bekende zwakke wachtwoorden en hun varianten, en kan ook andere zwakke termen blokkeren die specifiek zijn voor uw organisatie.

Met Microsoft Entra-wachtwoordbeveiliging worden standaard algemene lijsten met verboden wachtwoorden automatisch toegepast op alle gebruikers in een Microsoft Entra-tenant. Ter ondersteuning van uw eigen bedrijfs- en beveiligingsbehoeften kunt u vermeldingen definiëren in een aangepaste lijst met verboden wachtwoorden. Wanneer gebruikers hun wachtwoorden wijzigen of opnieuw instellen, worden deze lijsten gecontroleerd om het gebruik van sterke wachtwoorden af te dwingen.

U moet extra functies zoals meervoudige verificatie gebruiken, niet alleen afhankelijk zijn van sterke wachtwoorden die worden afgedwongen door Microsoft Entra-wachtwoordbeveiliging.

Algemene lijst met verboden wachtwoorden

Een algemene lijst met verboden wachtwoorden met bekende zwakke wachtwoorden wordt automatisch bijgewerkt en afgedwongen door Microsoft. Deze lijst wordt onderhouden door het Microsoft Entra ID Protection-team, die beveiligingstelemetriegegevens analyseert om zwakke of gecompromitteerde wachtwoorden te vinden. Voorbeelden van wachtwoorden die kunnen worden geblokkeerd, zijn P@$$w 0rd of Passw0rd1 en alle variaties.

Variaties worden gemaakt met behulp van een algoritme dat hoofdletters en letters transponeert naar cijfers zoals '1' naar een 'l'. Variaties op Wachtwoord1 kunnen Passw0rd1, Pass0rd1 en andere zijn. Deze wachtwoorden worden vervolgens gecontroleerd en toegevoegd aan de algemene lijst met verboden wachtwoorden. De algemene lijst met verboden wachtwoorden wordt automatisch toegepast op alle gebruikers in een Microsoft Entra-tenant en kan niet worden uitgeschakeld.

Als een Microsoft Entra-gebruiker probeert zijn wachtwoord in te stellen op een van deze zwakke wachtwoorden, ontvangen ze een melding om een veiliger wachtwoord te kiezen. De wereldwijde verboden lijst is afkomstig van echte, werkelijke aanvallen op wachtwoordspray. Deze aanpak verbetert de algehele beveiliging en effectiviteit en het wachtwoordvalidatie-algoritme maakt ook gebruik van slimme fuzzy-overeenkomende technieken om tekenreeksen te vinden die ongeveer overeenkomen met een patroon. Microsoft Entra-wachtwoordbeveiliging detecteert en blokkeert miljoenen van de meest voorkomende zwakke wachtwoorden die in uw onderneming worden gebruikt.

Aangepaste lijsten met verboden wachtwoorden

Beheerders kunnen ook aangepaste lijsten met verboden wachtwoorden maken ter ondersteuning van specifieke bedrijfsbeveiligingsbehoeften. De aangepaste lijst met verboden wachtwoorden verbiedt wachtwoorden, zoals de naam of locatie van de organisatie. Wachtwoorden die zijn toegevoegd aan de aangepaste lijst met verboden wachtwoorden, moeten gericht zijn op organisatiespecifieke termen, zoals:

  • Merknamen
  • Productnamen
  • Locaties, zoals het hoofdkantoor van het bedrijf
  • Bedrijfsspecifieke interne termen
  • Afkortingen met een specifieke betekenis binnen het bedrijf

De aangepaste lijst met verboden wachtwoorden wordt gecombineerd met de algemene lijst met verboden wachtwoorden om variaties van alle wachtwoorden te blokkeren.

Lijsten met verboden wachtwoorden zijn een functie van Microsoft Entra ID P1- of P2-licenties.

Een schermopname met een configuratiescherm voor het instellen van een aangepaste lijst met verboden wachtwoorden.

Beveiligen tegen wachtwoordspray

Met Microsoft Entra-wachtwoordbeveiliging kunt u zich beschermen tegen aanvallen met wachtwoordspray. De meeste wachtwoordensprayaanvallen verzenden slechts enkele van de bekende zwakste wachtwoorden tegen elk van de accounts in een onderneming. Met deze techniek kan de aanvaller snel zoeken naar een gecompromitteerd account en potentiële detectiedrempels omzeilen.

Microsoft Entra-wachtwoordbeveiliging blokkeert efficiënt alle bekende zwakke wachtwoorden die waarschijnlijk worden gebruikt bij aanvallen met wachtwoordspray. Deze beveiliging is gebaseerd op realtime beveiligingstelemetriegegevens van Microsoft Entra ID, die wordt gebruikt om de wereldwijde lijst met verboden wachtwoorden te maken.

Hybride beveiliging

Voor hybride beveiliging kunnen beheerders Microsoft Entra-wachtwoordbeveiliging integreren in een on-premises Active Directory-omgeving. Een onderdeel dat in de on-premises omgeving is geïnstalleerd, ontvangt de algemene lijst met verboden wachtwoorden en aangepaste beleidsregels voor wachtwoordbeveiliging van Microsoft Entra-id. Domeincontrollers gebruiken deze vervolgens om gebeurtenissen voor wachtwoordwijziging te verwerken. Deze hybride benadering zorgt ervoor dat, wanneer een gebruiker zijn of haar wachtwoord wijzigt, microsoft Entra-wachtwoordbeveiliging wordt toegepast.

Hoewel wachtwoordbeveiliging de sterkte van wachtwoorden verbetert, moet u nog steeds aanbevolen procedures gebruiken, zoals meervoudige verificatie. Wachtwoorden alleen, zelfs sterke wachtwoorden, zijn niet zo veilig als meerdere beveiligingslagen.