描述密碼保護和管理功能
密碼保護是 Microsoft Entra ID 的功能,可降低使用者設定弱式密碼的風險。 Microsoft Entra 密碼保護會偵測並封鎖已知的弱式密碼及其變化,也可以封鎖您組織專屬的其他弱式字詞。
使用 Microsoft Entra 密碼保護時,會自動將預設全域禁用密碼清單,套用至 Microsoft Entra 租用戶中的所有使用者。 如要支援您自己的商務和安全性需求,您可以在自訂禁用密碼清單中定義項目。 當使用者變更或重設其密碼時,系統會查看這些清單以強制使用強式密碼。
您應該使用額外的功能,例如:多重要素驗證,而不只是依賴 Microsoft Entra 密碼保護所強制執行的強式密碼。
全域禁用密碼清單
Microsoft 會自動更新並強制執行具有已知弱式密碼的全域禁用密碼清單。 這份清單是由 Microsoft Entra ID Protection 小組維護,他們會分析安全性遙測資料,以尋找弱式或遭盜用的密碼。 可能遭封鎖的密碼範例有 P@$$w0rd 或 Passw0rd1,以及所有相關變化。
您可以使用將文字大小寫和字母轉置為數字的演算法來建立變化 (例如:將 “1” 轉置為 “I”)。 Password1 的變化可能包含 Passw0rd1、Pass0rd1 等。 然後會檢查這些密碼,並將密碼新增至全域禁用密碼清單。 全域禁用密碼清單會自動套用至 Microsoft Entra 租用戶中的所有使用者,且無法停用。
Microsoft Entra 使用者若嘗試將其密碼設定為其中一個弱式密碼,就會收到一則通知,要求他們選擇更安全的密碼。 全域禁用清單源自於真實案例的實際密碼噴灑攻擊。 此方法可改善整體安全性和有效性,而密碼驗證演算法也會使用智慧模糊比對技術,用來尋找大致符合模式的字串。 Microsoft Entra ID 密碼保護可有效率地偵測和封鎖數百萬個最常見的弱式密碼,使其無法在您的企業中使用。
自訂禁用密碼清單
系統管理員也可以建立自訂的禁用密碼清單,以支援特定的商務安全性需求。 自訂禁用密碼清單會禁止將組織名稱或位置等當作密碼。 新增至自訂禁用密碼清單的密碼應著重於組織專屬的字詞,例如:
- 品牌名稱
- 產品名稱
- 位置,例如公司總部
- 公司特有的內部字詞
- 具有特定公司意義的縮寫
自訂禁用密碼清單會與全域禁用密碼清單結合,以封鎖所有密碼的變化。
禁用密碼清單是 Microsoft Entra ID P1 或 P2授權的功能。
防範密碼噴灑
Microsoft Entra 密碼保護可協助您防禦密碼噴灑攻擊。 大部分的密碼噴灑攻擊都只會針對企業中的每個帳戶提交一些已知的最弱密碼。 這項技術可讓攻擊者快速搜尋容易遭到入侵的帳戶,並避免可能的偵測閾值。
Microsoft Entra 密碼保護可有效率地封鎖可能在密碼噴灑攻擊中使用的所有已知弱式密碼。 這項保護功能是根據 Microsoft Entra 的真實案例安全性遙測資料,可用來建置全域禁用密碼清單。
混合式安全性
為了達到混合式安全性,您可以在內部部署的 Active Directory 環境中整合 Microsoft Entra 密碼保護。 安裝在內部部署環境中的元件,會取得 Microsoft Entra 提供的全域禁用密碼清單和自訂密碼保護原則。 接著,網域控制站會使用其來處理密碼變更事件。 這種混合式方法可確保在使用者變更其密碼時,會套用 Microsoft Entra 密碼保護。
雖然密碼保護可改善密碼的強度,但您仍應使用最佳做法功能,例如:多重要素驗證。 單單密碼 (甚至是強式密碼) 不如多層安全性安全。