Opis funkcji ochrony haseł i zarządzania nimi

  • 4 min

Ochrona haseł to funkcja identyfikatora Entra firmy Microsoft, która zmniejsza ryzyko ustawienia słabych haseł przez użytkowników. Firma Microsoft Entra wykrywa i blokuje znane słabe hasła i ich warianty, a także może blokować inne słabe terminy specyficzne dla twojej organizacji.

Dzięki ochronie haseł w usłudze Microsoft Entra domyślne globalne listy zakazanych haseł są automatycznie stosowane do wszystkich użytkowników w dzierżawie firmy Microsoft Entra. Aby zapewnić obsługę własnych potrzeb biznesowych i zabezpieczeń, możesz zdefiniować wpisy na liście niestandardowych zabronionych haseł. Gdy użytkownicy zmieniają lub resetują swoje hasła, są sprawdzane, aby wymusić użycie silnych haseł.

Należy używać dodatkowych funkcji, takich jak uwierzytelnianie wieloskładnikowe, nie tylko polegać na silnych hasłach wymuszanych przez ochronę haseł firmy Microsoft Entra.

Globalna lista zabronionych haseł

Globalna lista zakazanych haseł ze znanymi słabymi hasłami jest automatycznie aktualizowana i wymuszana przez firmę Microsoft. Ta lista jest utrzymywana przez zespół Ochrona tożsamości Microsoft Entra, który analizuje dane telemetryczne zabezpieczeń w celu znalezienia słabych lub naruszonych haseł. Przykłady haseł, które mogą być zablokowane, są P@$$w 0rd lub Passw0rd1 i wszystkie odmiany.

Odmiany są tworzone przy użyciu algorytmu transponującego wielkość liter tekstowych i liter na cyfry, takie jak "1" do litery "l". Odmiany hasła Password1 mogą obejmować hasło Passw0rd1, Pass0rd1 i inne. Te hasła są następnie sprawdzane i dodawane do globalnej listy zakazanych haseł. Globalna lista zakazanych haseł jest automatycznie stosowana do wszystkich użytkowników w dzierżawie firmy Microsoft Entra i nie można jej wyłączyć.

Jeśli użytkownik firmy Microsoft Entra spróbuje ustawić swoje hasło na jedno z tych słabych haseł, otrzyma powiadomienie o wybraniu bezpieczniejszego hasła. Globalna lista zakazanych jest pozyskiwana z rzeczywistych, rzeczywistych ataków sprayu haseł. Takie podejście poprawia ogólne bezpieczeństwo i skuteczność, a algorytm sprawdzania poprawności haseł używa również inteligentnych technik dopasowywania rozmytego używanego do znajdowania ciągów, które są w przybliżeniu zgodne ze wzorcem. Firma Microsoft Entra skutecznie wykrywa i blokuje miliony najczęściej używanych słabych haseł w przedsiębiorstwie.

Niestandardowe listy zakazanych haseł

Administratorzy mogą również tworzyć niestandardowe listy zakazanych haseł, aby obsługiwać określone potrzeby w zakresie zabezpieczeń firmy. Niestandardowa lista zakazanych haseł uniemożliwia hasła, takie jak nazwa organizacji lub lokalizacja. Hasła dodane do niestandardowej listy zakazanych haseł powinny być skoncentrowane na terminach specyficznych dla organizacji, takich jak:

  • Marki
  • Nazwy produktów
  • Lokalizacje, takie jak siedziba firmy
  • Wewnętrzne warunki specyficzne dla firmy
  • Skróty, które mają określone znaczenie firmy

Niestandardowa lista zakazanych haseł jest połączona z globalną listą zakazanych haseł w celu blokowania odmian wszystkich haseł.

Listy zakazanych haseł to funkcja licencjonowania Microsoft Entra ID P1 lub P2.

Zrzut ekranu przedstawiający ekran konfiguracji umożliwiający skonfigurowanie niestandardowej listy zakazanych haseł.

Ochrona przed sprayem haseł

Ochrona hasłem firmy Microsoft Entra pomaga bronić przed atakami spryskania haseł. Większość ataków sprayu haseł przesyła tylko kilka znanych najsłabszych haseł względem każdego z kont w przedsiębiorstwie. Ta technika umożliwia atakującemu szybkie wyszukiwanie łatwo naruszonego konta i unikanie potencjalnych progów wykrywania.

Ochrona haseł w firmie Microsoft Entra skutecznie blokuje wszystkie znane słabe hasła, które mogą być używane w atakach sprayowych haseł. Ta ochrona jest oparta na rzeczywistych danych telemetrycznych zabezpieczeń z identyfikatora Entra firmy Microsoft, które są używane do tworzenia globalnej listy zakazanych haseł.

Zabezpieczenia hybrydowe

W przypadku zabezpieczeń hybrydowych administratorzy mogą zintegrować ochronę haseł firmy Microsoft Entra w środowisku lokalna usługa Active Directory. Składnik zainstalowany w środowisku lokalnym odbiera globalną listę zakazanych haseł i niestandardowe zasady ochrony haseł od firmy Microsoft Entra ID. Kontrolery domeny następnie używają ich do przetwarzania zdarzeń zmiany hasła. To podejście hybrydowe zapewnia, że wszędzie tam, gdzie użytkownik zmienia hasło, jest stosowana ochrona hasłem firmy Microsoft Entra.

Mimo że ochrona haseł zwiększa siłę haseł, nadal należy używać funkcji najlepszych rozwiązań, takich jak uwierzytelnianie wieloskładnikowe. Hasła same, nawet silne, nie są tak bezpieczne, jak wiele warstw zabezpieczeń.