Descrever recursos de gerenciamento e proteção de senha
A proteção por senha é um recurso do Microsoft Entra ID que reduz o risco de os usuários definirem senhas fracas. A proteção de senha do Microsoft Entra detecta e bloqueia senhas fracas conhecidas e suas variantes e também pode bloquear outros termos fracos que são específicos para sua organização.
Com a proteção de senha do Microsoft Entra, as listas globais padrão de senhas banidas são automaticamente aplicadas a todos os usuários em um locatário do Microsoft Entra. Para dar suporte a suas necessidades de negócios e de segurança, você pode definir entradas em uma lista personalizada de senhas banidas. Quando os usuários alteram ou redefinem as senhas deles, essas listas são verificadas para impor o uso de senhas fortes.
Você deve usar recursos adicionais como a autenticação multifator, não apenas confiar em senhas fortes impostas pela proteção de senha do Microsoft Entra.
Lista de senhas proibidas globalmente
Uma lista global de senhas banidas com senhas fracas conhecidas é automaticamente atualizada e imposta pela Microsoft. Essa lista é mantida pela equipe do Microsoft Entra ID Protection, que analisa dados telemétricos de segurança para localizar senhas fracas ou comprometidas. Exemplos de senhas que podem ser bloqueadas são P@$$w0rd ou Passw0rd1 e todas as variações.
As variações são criadas usando um algoritmo que transpõe letras maiúsculas e minúsculas em números, como "1" para "l". As variações em Password1 podem incluir Passw0rd1, Pass0rd1 e outras. Essas senhas são então verificadas e adicionadas à lista global de senhas proibidas. A lista global de senhas proibidas é aplicada automaticamente a todos os usuários em um locatário do Microsoft Entra e não pode ser desabilitada.
Se um usuário do Microsoft Entra tentar definir a senha com uma dessas senhas fracas, ele receberá uma notificação para escolher uma mais segura. A lista global de senhas banidas é originada de ataques reais de pulverização de senha. Essa abordagem melhora a segurança e a eficácia geral, e o algoritmo de validação de senha também usa técnicas inteligentes de correspondência difusa usadas para encontrar cadeias de caracteres que correspondem aproximadamente a um padrão. A proteção de senha do Microsoft Entra detecta e bloqueia com eficiência milhões de senhas fracas mais comuns de serem usadas em sua empresa.
Listas personalizadas de senhas banidas
Os administradores também podem criar listas personalizadas de senhas banidas para dar suporte a necessidades específicas de segurança de negócios. A lista personalizada de senhas banidas proíbe o uso de senhas como o nome ou o local da organização. As senhas adicionadas à lista personalizada de senhas banidas devem ser focadas em termos específicos da organização, como:
- Nomes de marcas
- Nomes de produtos
- Localizações, como a sede da empresa
- Termos internos específicos da empresa
- Abreviações que tenham um significado específico para a empresa
A lista personalizada de senhas proibidas é combinada com a lista global de senhas banidas para bloquear variações de todas as senhas.
As listas de senhas proibidas são um recurso do licenciamento do Microsoft Entra ID P1 ou P2.
Proteger-se contra a pulverização de senha
A proteção de senha do Microsoft Entra ajuda você a se defender contra ataques de pulverização de senha. A maioria dos ataques de pulverização de senha usa somente algumas das senhas mais fracas conhecidas em cada uma das contas de uma empresa. Essa técnica permite que o invasor pesquise com rapidez uma conta facilmente comprometida e evite possíveis limites de detecção.
A proteção de senha do Microsoft Entra bloqueia com eficiência todas as senhas fracas conhecidas com probabilidade de uso em ataques de pulverização de senha. Essa proteção se baseia em dados reais de telemetria de segurança do Microsoft Entra ID, os quais são usados para criar a lista global de senhas banidas.
Segurança híbrida
Para a segurança híbrida, os administradores podem integrar a proteção de senha do Microsoft Entra a um ambiente local do Active Directory. Um componente instalado no ambiente local recebe a lista global de senhas banidas e as políticas de proteção de senha personalizadas do Microsoft Entra. Os controladores de domínio as usam para processar eventos de alteração de senha. Essa abordagem híbrida garante que, onde quer que um usuário altere a senha, a proteção de senha do Microsoft Entra seja aplicada.
Embora a proteção de senha aprimore a força das senhas, você ainda deve usar os recursos recomendados pelas melhores práticas, como a autenticação multifator. As senhas por si só, até mesmo as mais fortes, não são tão seguras quanto várias camadas de segurança.