Descrever os recursos de gerenciamento e proteção por senha

  • 4 minutos

A proteção por senha é um recurso do Microsoft Entra ID que reduz o risco de os usuários definirem senhas fracas. A proteção por senha do Microsoft Entra deteta e bloqueia senhas fracas conhecidas e suas variantes, e também pode bloquear outros termos fracos específicos da sua organização.

Com a proteção por senha do Microsoft Entra, as listas de senhas globais proibidas padrão são aplicadas automaticamente a todos os usuários em um locatário do Microsoft Entra. Para apoiar as suas próprias necessidades de negócios e de segurança, pode definir entradas numa lista de palavras-passe personalizadas banidas. Quando os usuários alteram ou redefinem suas senhas, essas listas são verificadas para impor o uso de senhas fortes.

Você deve usar recursos extras, como autenticação multifator, não apenas confiar em senhas fortes impostas pela proteção por senha do Microsoft Entra.

Lista de palavras-passe globais banidas

Uma lista global de senhas proibidas com senhas fracas conhecidas é automaticamente atualizada e aplicada pela Microsoft. Essa lista é mantida pela equipe de Proteção de ID do Microsoft Entra, que analisa os dados de telemetria de segurança para encontrar senhas fracas ou comprometidas. Exemplos de senhas que podem ser bloqueadas são P@$$w 0rd ou Passw0rd1 e todas as variações.

As variações são criadas usando um algoritmo que transpõe maiúsculas e minúsculas de texto e letras para números como "1" para um "l". Variações em Password1 podem incluir Passw0rd1, Pass0rd1 e outros. Essas senhas são verificadas e adicionadas à lista global de senhas proibidas. A lista global de senhas proibidas é aplicada automaticamente a todos os usuários em um locatário do Microsoft Entra e não pode ser desabilitada.

Se um usuário do Microsoft Entra tentar definir sua senha para uma dessas senhas fracas, ele receberá uma notificação para escolher uma mais segura. A lista global de banidos é proveniente de ataques reais de spray de senha. Essa abordagem melhora a segurança e a eficácia gerais, e o algoritmo de validação de senha também usa técnicas inteligentes de correspondência difusa usadas para encontrar cadeias de caracteres que correspondem aproximadamente a um padrão. A proteção por senha do Microsoft Entra deteta e bloqueia com eficiência milhões de senhas fracas mais comuns de serem usadas em sua empresa.

Listas de senhas proibidas personalizadas

Os administradores também podem criar listas de senhas proibidas personalizadas para dar suporte a necessidades específicas de segurança da empresa. A lista de senhas proibidas personalizadas proíbe senhas como o nome ou o local da organização. As senhas adicionadas à lista de senhas proibidas personalizadas devem ser focadas em termos específicos da organização, como:

  • Nomes de marcas
  • Nomes de produtos
  • Locais, como a sede da empresa
  • Termos internos específicos da empresa
  • Abreviaturas com significado específico de empresa

A lista de senhas proibidas personalizadas é combinada com a lista global de senhas proibidas para bloquear variações de todas as senhas.

As listas de senhas proibidas são um recurso do licenciamento do Microsoft Entra ID P1 ou P2.

Uma captura de tela mostrando uma tela de configuração para configurar uma lista de senhas proibidas personalizadas.

Proteção contra spray de senha

A proteção por palavra-passe Microsoft Entra ajuda-o a defender-se contra ataques de pulverização de palavras-passe. A maioria dos ataques de pulverização de senhas envia apenas algumas das senhas mais fracas conhecidas contra cada uma das contas em uma empresa. Essa técnica permite que o invasor procure rapidamente uma conta facilmente comprometida e evite possíveis limites de deteção.

A proteção por senha do Microsoft Entra bloqueia eficientemente todas as senhas fracas conhecidas que provavelmente serão usadas em ataques de pulverização de senha. Essa proteção é baseada em dados de telemetria de segurança do mundo real do Microsoft Entra ID, que é usado para criar a lista global de senhas proibidas.

Segurança híbrida

Para segurança híbrida, os administradores podem integrar a proteção por senha do Microsoft Entra em um ambiente local do Ative Directory. Um componente instalado no ambiente local recebe a lista global de senhas proibidas e as políticas personalizadas de proteção por senha da ID do Microsoft Entra. Em seguida, os controladores de domínio utilizam-nos para processar eventos de alteração de palavra-passe. Essa abordagem híbrida garante que, sempre que um usuário alterar sua senha, a proteção por senha do Microsoft Entra seja aplicada.

Embora a proteção por senha melhore a força das senhas, você ainda deve usar recursos de práticas recomendadas, como a autenticação multifator. As palavras-passe por si só, mesmo as fortes, não são tão seguras como várias camadas de segurança.