阻止受损的密码:如何以及为什么要这样做

密码开始觉得僵尸不会死亡。即使在2004年被着名的比尔盖茨呼吁他们的消亡后,这种过时的用户验证形式仍然活着和踢。

然而,许多人仍然希望,因为世界走向更强的认证,密码将慢慢淘汰。公司美国不是这种情况–据2017年认证报告,超过一半的美国组织仅使用密码来保护其财务信息。更糟糕的是,25%的美国员工在个人和业务账户中重用了他们的密码。这造成了重大问题。网络犯罪分子可以使用受损的个人帐户密码来获取商业帐户和潜在的整个业务网络。泄露了14亿泄漏的密码,循环黑暗的网络,允许在其环境中允许这些密码的组织要求违约。

nist说道–死亡妥协密码

凭借目前的威胁景观,国家标准与技术研究所(NIST)最近更新了他们的数字身份指南。他们的建议敦促使用用户帐户的所有应用程序“将潜在的秘密与包含常用,预期或受到损害的值的列表进行比较。”阻止受损密码的挑战是您需要一个不断更新的易受攻击的密码列表,以比较用户密码,这是哪个nist不提供。

Azure广告密码保护答案吗?

Azure最近推出了Azure AD密码保护功能。现在在公开审查中,Azure AD密码保护允许管理员防止用户使用500个常用的密码(例如,密码),以及超过100万单个字符的变体,如P @ SWORD。单独列出并不满足NIST的新规则来阻止受损密码。高级客户有能力阻止超出Microsoft提供的附加密码。但是,列表限制为1000字,目前尚不清楚Microsoft是否计划增加限制。考虑到易于使用的泄露密码的数量,阻止1000个泄露的密码几乎无法为攻击者创建障碍。

以下是您如何阻止收益的密码

Specops密码黑名单 您可以阻止超过10亿泄漏的密码。 Specops密码黑名单是一个托管服务,它具有连续更新和全面泄露的密码列表,包括Hasibeenpwned等。启用此服务时,在Active Directory期间检查密码,密码更改,如果在黑名单上检测到,则会通知用户在下次登录时更改它。此功能不仅可以防止用户使用泄漏的密码,还可以向他们通知它们为什么无法使用密码。

除了阻止泄露的密码之外,您还需要防止用户选择易受字典攻击的可预测密码。在字典攻击期间,黑客使用由常规名称,具有可预测字符替换的密码组成的字典(即P @ SSW0RD2017!),从LinkedIn,Yahoo和Adobe等数据漏斗获得的异语和受损密码。

Specops密码策略 字典能力 允许It Admins创建自己的自定义字典列表或下载提供的列表中的任何Specops。

阻止受损密码

更多的提示

你还能做些什么来改善密码安全性?以下是一些提示:

  • 扫描Active Directory以持续测量密码策略强度和合规性。

具有太多管理员帐户,非活动帐户和弱密码策略可以在环境中创建安全间隙。 这个免费的工具 扫描有关与密码策略特异性相关的各种与安全相关弱点的Active Directory。收集的信息用于生成包含用户和密码策略信息的多个交互式报告。该工具对于涉及合规性要求的组织特别有帮助,因为您组织中的密码设置是针对NIST,PCI,Microsoft和SAN等行业标准来衡量的。

阻止受损密码

  • 鼓励密码长度

GeyLMups等密码不在泄露的列表中,但只需要几分钟才能破解,因为短的密码是一个弱密码。密码的长度是对蛮力攻击的最有效的防御。考虑只有一个小写字母“A”的基本密码,攻击者将有26个可能性来猜测到Z.现在将密码长度增加到两个字符,攻击者必须经历676个可能性。你不能用数学争论 - 密码越长,越难以破解。

阻止受损密码

  • 不要让密码永远活着,但不要让他们过度过期

NIST不鼓励定期密码到期,但如果存在妥协的证据,则需要密码更改。但是,完全删除密码expiration未在没有更强大的认证方法的情况下建议,例如多因素身份验证。更好的方法是将密码到期基于用户在组织中的角色。越来越多的敏感信息,例如IT管理员,您想要继续使用密码到期的可能性越有可能是确保受损帐户的方式不会被忽视。

最后的想法

通过密码安全性最佳实践,我们在保护组织方面的效力需要审查。有时监管机构发送冲突的消息,但今天很清楚,密码黑名单是将用户从用户攻击者转移并防止字典攻击的有效方法。在密码策略方面没有“设置它并忘记它”。它是一个持续的过程,必须响应用户行为模式,以及新威胁的出现。

分享这个