Streszczenie:

Microsoft usunął zalecenie okresowych zmian haseł z wytycznych bezpieczeństwa. Ta zmiana została zaimplementowana, ponieważ użytkownicy mają tendencję do tworzenia prostszych haseł i ponownie wykorzystywanie ich na wielu kontach, gdy zmusza się regularnie zmieniać hasła. Zamiast obowiązkowych zmian haseł, Microsoft opowiada się za korzystaniem z uwierzytelniania wieloczynnikowego. Aby uniemożliwić użytkownikom tworzenie słabych haseł, organizacje mogą egzekwować zasady haseł, które wymagają użycia wszystkich typów znaków, zabrania wspólnych słów i zapobiegać korzystaniu z poprzednich haseł. Ponadto organizacje powinny uniemożliwić użytkownikom korzystanie z haseł, które zostały ujawnione w naruszeniach danych. Aby pomóc w zarządzaniu hasłem, AdselfService Plus oferuje funkcję zasad zasad haseł, która umożliwia organizacjom tworzenie niestandardowych zasad haseł. Ta funkcja zawiera reguły dotyczące znaków używanych w hasłach, powtórzeniu znaków lub użyciu starych haseł, użycie wzorców i wspólnych słów oraz długości hasła. AdselfService Plus również integruje się z tym, czy zostałem PWNED? Aby ostrzegać użytkowników, jeśli wybrane hasła zostały wcześniej naruszone. Oprócz zarządzania hasłem, AdselfService Plus oferuje inne funkcje, takie jak uwierzytelnianie wieloskładnikowe, pojedyncze logowanie i powiadomienie o wygaśnięciu hasła, aby poprawić bezpieczeństwo.

Kluczowe punkty:

  1. Microsoft usunął obowiązkowe okresowe zmiany haseł z wytycznych bezpieczeństwa.
  2. Użytkownicy mają tendencję do tworzenia prostszych haseł i ponownie wykorzystywanie ich na wielu kontach, gdy są zmuszani regularnie zmieniać hasła.
  3. Microsoft zaleca użycie uwierzytelniania wieloczynnikowego jako alternatywy dla obowiązkowych zmian haseł.
  4. Egzekwowanie zasad haseł może pomóc użytkownikom tworzyć słabe hasła.
  5. Zasady haseł mogą obejmować wymagania dotyczące korzystania z wszystkich rodzajów znaków, zabrania wspólnych słów i zapobiegania użyciu poprzednich haseł.
  6. Zapobieganie użyciu haseł ujawnionych w naruszeniach danych ma kluczowe znaczenie dla bezpieczeństwa konta.
  7. AdselfService Plus oferuje funkcję zasad zasad haseł do tworzenia niestandardowych zasad haseł.
  8. Funkcja Enforcer Policy Policy zawiera reguły dla używanych znaków, powtórzenie znaków, użycie wzorców i wspólnych słów oraz długość hasła.
  9. AdselfService Plus integruje się z Czy byłem PWNED? Aby ostrzec użytkowników, jeśli ich hasła zostały wcześniej naruszone.
  10. AdselfService Plus zapewnia dodatkowe funkcje, takie jak uwierzytelnianie wieloskładnikowe, pojedyncze logowanie i powiadomienie o wygaśnięciu hasła.

Pytania:

1. Dlaczego Microsoft usunął obowiązkowe zmiany haseł z wytycznych bezpieczeństwa?

Microsoft usunął obowiązkowe zmiany haseł, ponieważ użytkownicy zwykle tworzą prostsze hasła i ponownie wykorzystają je na wielu kontach, gdy zmuszeni regularnie zmieniać hasła.

2. Jakie jest alternatywne zalecenie Microsoft dla bezpieczeństwa haseł?

Microsoft zaleca użycie uwierzytelniania wieloczynnikowego jako alternatywy dla obowiązkowych zmian haseł.

3. W jaki sposób organizacje mogą uniemożliwić użytkownikom tworzenie słabych haseł?

Organizacje mogą egzekwować zasady haseł, które wymagają użycia wszystkich typów znaków, zabrania wspólnych słów i zapobiegać korzystaniu z poprzednich haseł.

4. Dlaczego zapobiega użyciu haseł ujawnionych w naruszeniach danych?

Zapobieganie użyciu haseł ujawnionych w naruszeniach danych jest ważne, ponieważ atakujący często zapisują i ponownie używają tych haseł w przyszłych atakach.

5. Jaka jest funkcja Enforcer Policy Policy oferowana przez AdselfService Plus?

Funkcja Polityki Hasła umożliwia organizacjom tworzenie niestandardowych zasad haseł z określonymi regułami dla używanych znaków, powtórzenie znaków, użycie wzorców i wspólnych słów oraz długość hasła.

6. Jak się zintegruje AdselfService Plus?

AdselfService Plus integruje się z Czy byłem PWNED? Aby ostrzegać użytkowników, jeśli wybrane hasła zostały wcześniej naruszone.

7. Oprócz zarządzania hasłem, jakie inne funkcje oferują AdselfService Plus?

AdselfService Plus oferuje funkcje takie jak uwierzytelnianie wieloskładnikowe, pojedyncze logowanie i powiadomienie o wygaśnięciu hasła.

8. Jakie są korzyści z korzystania z uwierzytelniania wieloczynnikowego?

Korzystanie z uwierzytelniania wieloczynnikowego dodaje dodatkową warstwę bezpieczeństwa, wymagając od użytkowników dostarczania wielu form uwierzytelnienia, takich jak hasło i odcisk palca, do weryfikacji.

9. Dlaczego ważne jest egzekwowanie zasad haseł?

Egzekwowanie zasad haseł zapewnia, że ​​użytkownicy tworzą silne, złożone hasła, które są bezpieczniejsze i mniej podatne na nieautoryzowany dostęp.

10. W jaki sposób AdselfService plus pomaga organizacjom zwiększyć bezpieczeństwo?

AdselfService Plus oferuje funkcje takie jak uwierzytelnianie wieloskładnikowe, powiadomienie o wygaśnięciu pojedynczego logowania i hasło, które pomagają organizacjom wzmacniać ich środki bezpieczeństwa i chronić ich konta.

11. Jakie są przykłady zasad wymuszonych przez zasady haseł?

Przykłady zasad wymuszonych przez zasady hasła obejmują użycie kombinacji wielkich liter, małych liter, liczb i znaków specjalnych, ograniczanie kolejnych powtórzeń określonej postaci z nazwy użytkownika oraz zapobieganie użyciu słów słowniczych lub sekwencji klawiatury.

12. W jaki sposób zapobieganie ponownym użyciu hasła pomaga zwiększyć bezpieczeństwo?

Zapobieganie ponownym użyciu hasła pomaga zwiększyć bezpieczeństwo, ponieważ użycie tego samego hasła na wielu kontach zwiększa ryzyko naruszania wszystkich tych kont, jeśli jedno hasło zostanie ujawnione.

13. W jaki sposób AdselfService Plus powiadomi użytkowników o ich niedługo wysuwanych hasłach?

AdselfService Plus wysyła do użytkowników powiadomienia dotyczące ich haseł niedługo wysuwanych, upewniając się, że są świadomi i mogą zmieniać swoje hasła w odpowiednim czasie.

14. Jakie są zalety korzystania z pojedynczego logowania?

Korzystanie z pojedynczego logowania pozwala użytkownikom zalogować się raz i uzyskiwać dostęp do wielu aplikacji bez konieczności wprowadzania swoich poświadczeń za każdym razem, zmniejszając kłopot z zarządzaniem wieloma hasłami.

15. W jaki sposób AdselfService plus poprawia bezpieczeństwo haseł podczas zmian i resetowania hasła domeny?

AdselfService Plus wymusza zasadę haseł podczas zmian hasła domeny za pomocą ekranu CTRL+Alt+Del i hasła resetują konsolę i komputery Active Directory, upewniając się, że środki bezpieczeństwa hasła są konsekwentnie przestrzegane.

Microsoft mówi, że obowiązkowa zmiana hasła jest “starożytny i przestarzały”

Margoza była jasna, że ​​zmiany w żaden sposób nie wpływają na zalecaną minimalną długość hasła, historię lub złożoność. I, jak również wskazał, Microsoft nadal zachęca ludzi do korzystania z uwierzytelniania wieloczynnikowego.

Bezpieczeństwo

W ubiegłym roku Microsoft ogłosił, że okresowe zmiany haseł zostały usunięte z wytycznych bezpieczeństwa zalecanych klientom. Chociaż obowiązkowe okresowe zmiany hasła za pomocą wygaśnięcia hasła zostały reklamowane jako niezbędny krok dla bezpieczeństwa konta Active Directory przez te wszystkie lata, dlaczego taka zmiana się nastąpiła?

Okazuje się, że po naciskaniu do regularnej zmiany haseł użytkownicy mają tendencję do tworzenia prostszych, łatwych do zapamiętywania haseł, które różnią się tylko o jeden lub dwa znaki od swoich poprzedników. Dodaj do tego praktykę używania tego samego hasła na wielu kontach, masz na rękach problem, który pokonuje cel nakładania regularnych zmian haseł.

Prostym obejściem tego jest egzekwowanie reguł, które pomagają tworzyć silniejsze, bardziej złożone hasła. Przykładami tych zasad są:

  • Egzekwowanie użycia wszystkich rodzajów znaków (wielkie litery, małe litery, cyfry i znaki specjalne).
  • Zabranianie używania słów, które mogą być powszechne w Twojej organizacji.
  • Zapobieganie użyciu poprzednich haseł.

Innym rozwiązaniem jest uniemożliwienie użytkownikom korzystania z haseł, które zostały już ujawnione podczas naruszeń danych. Atakerzy są notorycznie z zapisywaniem haseł, które niewłaściwe są wymyślone podczas naruszeń danych i używają ich w przyszłych atakach. Ponieważ ponowne użycie hasła jest kolejnym niebezpiecznym nawykiem, jeśli użytkownicy nie są udaremnieni używaniem narażonych poświadczeń, ich konta ryzykują naruszenie.

AdselfService Plus, zintegrowane samoobsługowe zarządzanie hasłem Active Directory i rozwiązanie pojedynczego logowania, oferuje funkcję zasad zasad haseł, która umożliwia organizacjom tworzenie niestandardowych zasad haseł i stosowanie tych zasad do pożądanych OUS i grup. Zasady haseł składają się z reguł złożoności, które zmuszają użytkowników do tworzenia silnych, złożonych haseł. Reguły pozwalają administratorom zarządzać:

  1. Znaki używane w hasło: Obejmuje to reguły ograniczające liczbę znaków specjalnych, liczb i znaków Unicode używanych w hasłach.
  2. Powtarzanie znaków w hasło lub użycie starych haseł: Obejmuje to reguły, które egzekwują kontrolę historii hasła podczas resetowania hasła i ograniczają kolejne powtórzenie określonej postaci z nazwy użytkownika (e.G. “aaaaa” Lub “User01”).
  3. Wykorzystanie wzorów i wspólnych słów: Obejmuje to reguły ograniczające sekwencje klawiatury, słowne słowa i palindromy.
  4. Długość hasła: Obejmuje to reguły, które określają minimalną i maksymalną długość hasła.

AdselfService Plus zapewnia również następujące opcje, które poprawiają implementację niestandardowych zasad haseł w dziedzinie:

  • Pozwól użytkownikom zastąpić zasady hasła, jeśli hasło przekracza określoną długość.
  • Określanie minimalnej liczby reguł, które należy spełnić, aby skutecznie utworzyć hasło.
  • Wyświetlanie zasad zasad haseł podczas zmiany hasła i resetowanie hasła samoobsługowego oferowane przez AdselfService Plus.
  • Egzekwowanie zasad haseł podczas zmian hasła domeny za pomocą ekranu CTRL+Alt+Del i hasła resetują konsolę Active Directory i komputery.

Kolejną funkcją oferowaną przez AdselfService Plus jest integracja, czy byłem PWNED?. Jest to usługa, która ostrzega użytkowników, jeśli utworzone przez nich hasło zostało naruszone wcześniej. Po zintegrowaniu AdselfService z czy to mnie? Użytkownicy domeny są powiadomieni, gdy hasła, które tworzą podczas dowolnego z poniższych działań, zostały ujawnione wcześniej:

  • Samoobsługowe resetowanie hasła za pomocą AdselfService Plus
  • Zmień hasło za pomocą opcji Ctrl+Alt+Del.
  • Reset hasła za pomocą konsoli Active Directory i komputerów.

AdselfService Plus oferuje również inne funkcje chroniące konta reklamowe w organizacji. Niektóre z nich obejmują:

  • Uwierzytelnianie wieloczynnikowe: implementuje wiele warstw uwierzytelniania przy użyciu metod takich jak TOTP, Google Authenticator i uwierzytelnianie odcisków palców podczas logowania domeny, działania samoobsługowe, takie jak resetowanie hasła i odblokowanie konta za pomocą portalu AdselfService Plus oraz logowanie do przedsiębiorstwa (podczas SSO).
  • Pojedyncze logowanie: Umożliwia użytkownikom zalogowanie się do portalu AdselfService i dostęp do innych aplikacji korporacyjnych bez logowania.
  • Powiadomienie o wygaśnięciu hasła: powiadomi użytkowników o ich niedługo wysuwanych hasłach.

Uprościć zarządzanie hasłem za pomocą AdselfService Plus.

Dzięki!

Twoje pobieranie jest w toku i zostanie zakończone za kilka sekund!
Jeśli napotykasz jakiekolwiek problemy, pobierz ręcznie tutaj

Samoobsługowe zarządzanie hasłem i rozwiązanie pojedynczego logowania

ManageEngine AdselfService Plus to zintegrowane samoobsługowe zarządzanie hasłem i rozwiązanie pojedynczego logowania dla aplikacji Active Directory i Cloud. Upewnij się, że bezpieczeństwo punktu końcowego za pomocą rygorystycznych kontroli uwierzytelniania, w tym biometrii i zaawansowanych kontroli zasad haseł.

  • Produkty powiązane
    • Admanager Plusactive Directory Management & Raporting
    • Audit Active Directory i UBA ADAUDIT Plusreal Time
    • Analiza i raportowanie dziennika czasu analizy i raportowania
    • AD360integrowane tożsamość i zarządzanie dostępem
    • Log360 Comphishenve Siem i Ueba
    • Bezpłatne narzędzia do narzędzi Bezpłatne narzędzia

    Pojedynczy okienko szkła do pełnego zarządzania hasłem samoobsługowym

    • Samoobsługowanie hasła
    • Samoobsługowanie katalogu
    • Jedna tożsamość
    • Bezpieczeństwo
    • Produkty powiązane
    • Resetowanie hasła samoobsługowego
    • Odblokowanie konta samoobsługowego
    • Powiadomienie o wygaśnięciu hasła
    • Windows logon dwuskładnikowy uwierzytelnianie
    • Egzekuner zasady haseł
    • Agent logowania Windows/Mac/Linux
    • Zarządzanie hasłem mobilnym
    • Aktualizacja poświadczeń buforowanych
    • Uwierzytelnianie wieloskładnikowe

    Microsoft mówi, że obowiązkowa zmiana hasła jest “starożytny i przestarzały”

    Zakręcając główny trend, firma przemawia przeciwko odwiecznej praktyce.

    Dan Goodin – 3 czerwca 2019 21:08 UTC

    Zrzut ekranu z hasła Gameshow

    Komentarze czytelnika

    Microsoft wreszcie przyciąga maksimę, którą eksperci bezpieczeństwa prawie powszechnie akceptowali od lat: okresowe zmiany haseł prawdopodobnie wyrządzą więcej szkody niż pożytku.

    W w dużej mierze pomijanym poście opublikowanym pod koniec ubiegłego miesiąca Microsoft powiedział, że usuwa okresowe zmiany haseł z ustawień podstawowych, które zaleca klientom i audytorom. Po dziesięcioleciach rekomendowania haseł Microsoft regularnie zmienia się hasła, Microsoft Pracownik Aaron Margosis powiedział “starożytne i przestarzałe łagodzenie bardzo niskiej wartości.”

    Dalsze czytanie

    Zmiana serca jest w dużej mierze wynikiem badań, które pokazują, że hasła są najbardziej podatne na pękanie’łatwe do zapamiętania użytkowników końcowych, na przykład kiedy używają nazwy lub frazy z ulubionego filmu lub książki. W ciągu ostatniej dekady hakerzy wydobyli rzeczywiste naruszenia hasła, aby zebrać słowniki milionów słów. W połączeniu z super szybszymi kartami graficznymi hakerzy mogą wydawać ogromną liczbę domysłu w atakach off-line, które występują, gdy kradną kryptograficznie jajecznicze skróty, które reprezentują hasła do użytkownika zwykłego tekstu.

    Dalsze czytanie

    Nawet gdy użytkownicy próbują zaciemnić swoje łatwe do zapamiętania hasła-powiedzmy, dodając litery lub symbole do słów lub zastępując 0’s dla O’s lub 1’s za l’S – Pakierzy mogą korzystać z reguł programowania, które modyfikują wpisy słownika. W rezultacie środki te zapewniają niewielką ochronę przed nowoczesnymi technikami pękania.

    Naukowcy coraz częściej doszli do konsensusu, że najlepsze hasła mają co najmniej 11 znaków, losowo wygenerowane i składają się z liter górnych i niższych, symboli (takich jak %, *lub>) i liczb. Te cechy sprawiają, że większość ludzi jest szczególnie trudna do zapamiętania. Ci sami badacze ostrzegali, że nakazanie hasła zmienia się co 30, 60 lub 90 dni – lub w każdym innym okresie – mogą być szkodliwe z wielu powodów. Wśród nich wymagania zachęcają użytkowników końcowych do wyboru słabszych haseł niż inaczej. Hasło, które było “P@$$ w0rd1” staje się “P@$$ w0rd2” i tak dalej. Jednocześnie obowiązkowe zmiany zapewniają niewielką korzyść w zakresie bezpieczeństwa, ponieważ hasła należy natychmiast zmienić w przypadku prawdziwego naruszenia, a nie po ustalonej ilości czasu określonego przez zasadę.

    Dalsze czytanie

    Pomimo rosnącego konsensusu wśród badaczy, Microsoft i większość innych dużych organizacji nie chciała mówić z okresowymi zmianami haseł. Jednym z godnych uwagi wyjątków był w 2016 r., Kiedy Lorrie Cranor, ówczesna Federalna Komisja Handlu’Główny technolog, wezwał porady udzielone przez jej własnego pracodawcę. Teraz, prawie trzy lata później, Cranor ma firmę.

    W zeszłym miesiącu’S Post na blogu, Microsoft’s Margosis napisał:

    Tam’nie ma wątpliwości, że stan bezpieczeństwa hasła jest problematyczny i od dawna istnieje. Kiedy ludzie wybierają własne hasła, zbyt często są łatwe do odgadnięcia lub przewidywania. Kiedy ludzie są przydzielani lub zmuszeni do tworzenia haseł, które są trudne do zapamiętania, zbyt często one’zapisz je, gdzie inni mogą je zobaczyć. Kiedy ludzie są zmuszeni do zmiany haseł, zbyt często oni’spędzić małą i przewidywalną zmianę w ich istniejących hasłach i/lub zapomnij o nowych hasłach. Gdy hasła lub odpowiednie skróty zostaną skradzione, może być w najlepszym razie trudno wykryć lub ograniczyć ich nieautoryzowane użycie.

    Ostatnie kwestionowanie badań naukowych Wartość wielu długoletnich praktyk bezpieczeństwa hasła, takich jak zasady wygaśnięcia hasła, i zamiast tego punkty do lepszych alternatyw, takich jak egzekwowanie listy słów zakazanych-pasa (doskonałym przykładem ochrony hasła Azure) i uwierzytelniania wielu czynników uwierzytelniania. Chociaż zalecamy te alternatywy, nie można ich wyrażać ani egzekwować za pomocą naszych zalecanych podstawowych linii podstawowych konfiguracji bezpieczeństwa, które są zbudowane w systemie Window’ Wbudowane ustawienia zasad grupy i nie mogą zawierać wartości specyficznych dla klienta.

    Okresowe wygaśnięcie hasła jest obroną tylko przed prawdopodobieństwem, że hasło (lub skrót) zostanie skradzione podczas jego ważności i będzie używane przez nieautoryzowaną jednostkę. Jeśli hasło nigdy nie zostało skradzione, tam’nie trzeba tego wygasać. A jeśli masz dowody na to, że hasło zostało skradzione, prawdopodobnie działałbyś natychmiast, zamiast czekać na wygaśnięcie problemu.

    Jeśli to’s a biorąc pod uwagę, że hasło prawdopodobnie zostanie skradzione, ile dni jest akceptowalnym czasem, aby nadal umożliwić złodziejem na użycie tego skradzionego hasła? Windows domyślnie to 42 dni. Czyn’to wydaje się to absurdalnie długo? Cóż, jest to, a jednak nasza obecna linia bazowa mówi 60 dni – i mówiło 90 dni – ponieważ wymuszanie częstego wygaśnięcia wprowadza własne problemy. A jeśli to’nie jest uważne, że hasła zostaną skradzione, nabywasz te problemy bez żadnej korzyści. Ponadto, jeśli Twoi użytkownicy są tym, którzy chcą odpowiedzieć na ankiety na parkingu, które wymieniają pasek cukierków na swoje hasła, żadna polityka wygaśnięcia hasła nie pomoże Ci.

    Margoza była jasna, że ​​zmiany w żaden sposób nie wpływają na zalecaną minimalną długość hasła, historię lub złożoność. I, jak również wskazał, Microsoft nadal zachęca ludzi do korzystania z uwierzytelniania wieloczynnikowego.

    Zmiany w Microsoft’S BEZPIECZEŃSTWA Ustawienia podstawowe wygrane’T Zmień domyślne wartości uwzględnione w wersjach Windows Server, które według Margosis nadal wynosi 42 dni, mniej niż nawet 60 dni sugerowane w starych ustawieniach podstawowych. Mimo to zmiana podstawowa prawdopodobnie da pracownikom amunicję podczas opowiadania się za zmianami we własnych organizacjach. Jeremi Gosney, ekspert ds. Bezpieczeństwa haseł oraz założyciel i dyrektor generalny Terahash, powiedział to’S może również pomóc firmom cofnąć się przeciwko audytorom, którzy często znajdują firmy z przestrzegania zgodności.

    “Microsoft oficjalnie wskakuje do walki z obowiązkowymi zmianami haseł,” Gosney powiedział, “da firmom jeszcze większą dźwignię w stosunku do dużej zgodności.”

    Podtylna linia tego postu została zmieniona. Wcześniej czytał: „Zakładając główny trend, firma nie doradza już organizacjom egzekwowania okresowych zmian.”

    NIST i Microsoft Policy Hass Policy Najlepsze praktyki

    2022 Polityka haseł Najlepsze praktyki

    Microsoft i National Institute of Security Technology (NIST) to dwa z wiodących zasobów do zapewnienia silnych zasad haseł. W tym artykule omawiamy ich zalecane strategie, aby upewnić się, że hasła Twojej organizacji są wystarczająco silne, aby chronić przed hakerami i cyberprzestępcznymi.

    NIST jest odpowiedzialny za opracowanie standardów bezpieczeństwa informacji i wytycznych, których muszą przestrzegać wszystkie agencje federalne, a większość ekspertów ds. Bezpieczeństwa cybernetycznego również decyduje się na śledzenie. Microsoft zapewnia unikalną perspektywę bezpieczeństwa hasła poprzez wykorzystanie inteligencji, która wynika z analizy milionów prób narażania nazwy użytkownika/hasła dziennie. Przejrzyj zarówno NIST, jak i Microsoft Hassing Wskazówki oraz zalecenia, aby określić najlepsze zasady dla Twojej organizacji.

    Microsoft stworzył swoje zalecenia dotyczące zasad haseł administratora za pomocą inteligencji uzyskanych z lat śledzenia zagrożeń, w tym trojanów, robaków, botnetów, ataków phishingowych itp. Podkreślają również znaczenie szkolenia pracowników, aby zapewnić, że wszyscy użytkownicy są kształceni na podstawie wszelkich zmian zasad haseł, i wiedzą, jak dostrzec najnowsze zagrożenia bezpieczeństwa. Microsoft zaleca następujące zasady zapewnienia bezpieczeństwa tożsamości opartej na hasłach i zarządzania dostępem w ramach planu bezpieczeństwa cybernetycznego organizacji.

    Wytyczne hasła dla administratorów

    • Utrzymaj 8-znakowy wymaganie minimalnej długości (dłużej niekoniecznie jest lepsze)
      Wymagania dotyczące długości hasła (większe niż około 10 znaków) mogą spowodować zachowanie użytkownika, które jest przewidywalne i niepożądane. Na przykład użytkownicy, którzy są zobowiązani do posiadania 16-znakowego hasła, mogą wybrać powtarzające się wzorce, takie jak FourfourFourfour lub hasło, które spełniają wymagania długości znaku, ale nie są trudne do odgadnięcia. Ponadto wymagania długości zwiększają szanse, że użytkownicy przyjęją inne niepewne praktyki, takie jak zapisanie haseł, ponowne wykorzystanie ich lub przechowywanie ich niezaszyfrowanych w dokumentach. Aby zachęcić użytkowników do zastanowienia się nad unikalnym hasłem, zalecamy zachowanie rozsądnego wymagania dotyczącego minimalnej długości 8-znaków.
    • Nie wymagaj wymagań dotyczących składu znaków. Na przykład *i (^%$
      Wymagania dotyczące złożoności hasła mogą powodować działanie użytkowników w przewidywalny sposób, wyrządzając więcej szkody niż pożytku. Większość ludzi używa podobnych wzorów, na przykład kapitału na pierwszej pozycji, symbolu w ostatnim i liczbie w ostatnich 2. Cyberprzestępcy wiedzą o tym, więc uruchamiają swoje ataki słownikowe, używając najczęstszych podstawień „$” dla „s”, „@” dla „a”, „1” dla „l”. Zmuszanie użytkowników do wyboru kombinacji górnej, dolnej, cyfr, znaków specjalnych ma negatywny efekt. Niektóre wymagania dotyczące złożoności uniemożliwiają nawet użytkownikom korzystanie z bezpiecznych i niezapomnianych haseł i zmuszają ich do wymyślania mniej bezpiecznych i mniej niezapomnianych haseł.
    • Nie wymagaj okresowych resetów haseł dla kont użytkowników
      Istnieją dowody sugerujące, że użytkownicy, którzy wiedzą, że będą musieli zmienić hasło, wybierają słabe hasła i częściej je zapisują. Może to być lepsze podejście do egzekwowania uwierzytelniania wieloczynnikowego, a następnie zachęcanie użytkowników do utworzenia silnego hasła, którego będą mogli używać przez długi czas.
    • Zakaz wspólnych haseł, aby utrzymać najbardziej wrażliwe hasła z systemu
      Najważniejszym wymogiem hasła, które należy nałożyć na swoich użytkowników podczas tworzenia haseł, jest zakazanie użycia wspólnych haseł w celu zmniejszenia podatności organizacji na ataki hasła brutalnego. Wspólne hasła użytkowników obejmują: ABCDEFG, hasło, małpa.
    • Edukuj swoich użytkowników, aby nie ponownie wykorzystali swoich haseł organizacji do celów niezwiązanych z pracą
      Jedną z najważniejszych wiadomości do użytkowników w Twojej organizacji jest nie wykorzystanie hasła do organizacji nigdzie indziej. Korzystanie z haseł organizacji na zewnętrznych stronach internetowych znacznie zwiększa prawdopodobieństwo, że cyberprzestępcy zagrożą te hasła.
    • Egzekwować rejestrację uwierzytelniania wieloskładnikowego
      Upewnij się, że użytkownicy aktualizują informacje o kontaktach i bezpieczeństwa, takie jak alternatywny adres e -mail, numer telefonu lub urządzenie zarejestrowane do powiadomień push, aby mogli odpowiadać na wyzwania bezpieczeństwa i zostać powiadomieni o zdarzeniach bezpieczeństwa. Zaktualizowane informacje o kontaktach i bezpieczeństwa pomagają użytkownikom weryfikować ich tożsamość, jeśli kiedykolwiek zapomną hasła, lub jeśli ktoś inny próbuje przejąć swoje konto. Zapewnia także kanał powiadomienia o niezbędnym zespole w przypadku zdarzeń bezpieczeństwa, takich jak próby logowania lub zmienione hasła.
    • Włącz wyzwania uwierzytelniania wieloskładnikowego oparte na ryzyku
      Uwierzytelnianie wieloskładnikowe oparte na ryzyku zapewnia, że ​​gdy nasz system wykryje podejrzane działanie, może rzucić wyzwanie użytkownik.
    • Uwierzytelnianie bez hasła to przyszłość
      Microsoft zaprasza administratorów do wprowadzenia swoich organizacji w przyszłość, zapoznając się z tym, co nazywają uwierzytelnianiem bez hasła, i jest dostępny teraz. Umożliwia użytkownikom szybciej dotrzeć do aplikacji i usług, zapewnia wyższy poziom bezpieczeństwa niż hasła i eliminuje koszty obsługi IT i utracone wydajność wynikające z resetowania haseł. 3 dostępne dziś 3 opcje uwierzytelniania Microsoft Bezpasowe uwierzytelnianie to Windows Hello Facial Recognition i Skanowanie odcisków palców, Microsoft Authenticator App for Bezpasowe zapisywanie się telefonu i klucze bezpieczeństwa FIDO2, które są dostępne jako klawisz US/NFC, klawisz biometryczny USB lub biometryczne noszenia.

    Specjalna publikacja NIST 800-63B Wytyczne tożsamości cyfrowej, uwierzytelnianie i zarządzanie cyklem życia wydane w 2020 r. Jest uważane za złoty standard bezpieczeństwa haseł. Wytyczne muszą następować agencje federalne, i zdecydowanie zaleca się, aby wszystkie firmy NIST były przestrzegane przez wszystkie firmy przy ustalaniu zasad haseł, aby zapewnić bezpieczeństwo ich kont pracowników i danych firmy. Dokument wprowadził nowy protokół zaprojektowany w celu poprawy bezpieczeństwa hasła poprzez zachęcanie do łatwego do zapamiętania, ale trudno odgadnąć hasła, określane jako zapamiętane tajemnice, jednocześnie eliminując wiele wymagań złożoności haseł z przeszłości, które udowodniono, że zmniejszają bezpieczeństwo.

    Poniżej znajduje się podsumowanie najważniejszych zaleceń hasła szczegółowo w wytycznych:

    • Wymagaj uwierzytelniania wieloskładnikowego
      Uwierzytelnianie wieloczynnikowe obejmuje użycie więcej niż jednej metody w celu weryfikacji Twojej tożsamości. Uwierzytelnianie wieloczynnikowe może pomóc w ochronie konta przed atakującymi, nawet jeśli zgadają lub kradną hasło. Atakujący nie byliby w stanie uzyskać dostępu do twojego konta, nie przechodząc przez drugą warstwę bezpieczeństwa.
    • Długość hasła powinna wynosić minimum 8 znaków, ale mniej niż 64 znaki
      Udowodniono, że wymagania dotyczące długości haseł, które wymagają, aby hasła były większe niż 10 znaków, powodują zachowanie użytkownika, które jest przewidywalne i łatwe do domyślania. Wymagania długości zwiększają również szanse, że użytkownicy przyjęją inne niepewne praktyki, takie jak zapisanie haseł, ponowne wykorzystanie ich lub przechowywanie ich niezaszyfrowanych w dokumentach. Z tych powodów NIST zaleca teraz zachowanie rozsądnego wymagania o minimalnej długości 8 znaków. i najważniejsze wymagają uwierzytelniania wieloczynnikowego!
    • Wszystkie znaki specjalne (w tym przestrzeń) powinny być dozwolone, ale nie wymagane
      Znaki specjalne zwiększają hasło, ale nadal możesz stworzyć silne, bezpieczne hasło bez znaków specjalnych. Uczynienie tego opcjonalnym i nie wymaganym pozwala użytkownikom tworzyć hasła, które są bardziej prawdopodobne, że zapamiętają.
    • Wyeliminuj uwierzytelnianie oparte na wiedzy (e.G. Jakie jest nazwisko panieńskie Twojej matki)
      Wiele form uwierzytelnienia opartego na wiedzy można łatwo znaleźć w Internecie. Hakerzy mogą znaleźć odpowiedzi na większość zadanych pytań bezpieczeństwa, takie jak urodziny, pochodzenie edukacyjne i nazwiska członka rodziny, przeglądając publiczne rekordy. Nie pomaga to, że tak wiele osób jest nieświadomy konsekwencji bezpieczeństwa informacji, które swobodnie dzielą w mediach społecznościowych, co często daje silne wskazówki na temat tych wspólnych pytań bezpieczeństwa.
    • Unikaj korzystania z danych osobowych podczas tworzenia hasła
      Dane osobowe, które umieszczasz na platformach mediów społecznościowych, takich jak Facebook i Instagram, ułatwiają hakerowi odgadnięcie hasła. Unikaj używania wszystkiego, co jest o tobie znane, czy z dokumentacji publicznej, czy jakichkolwiek informacji. Informacje te mogą być najłatwiejsze do zapamiętania, ale są podstawą inżynierii społecznej, która może być wykorzystana przeciwko tobie. Inżynieria społeczna pozostaje jedną z najskuteczniejszych strategii stosowanych w udanych atakach ransomware.
    • Wyeliminuj obowiązkowe zmiany hasła, chyba że istnieją dowody na kompromis hasła
      Jedną z najważniejszych zmian, które wprowadził NIST, jest to, że nie zalecają już wymagania regularnych resetów haseł. Ta praktyka okazała się nieskuteczna i faktycznie sprawia, że ​​hasła są mniej bezpieczne. Badanie przeprowadzone przez Microsoft wykazało, że użytkownicy, którzy musieli często zresetować hasła, częściej używali słabych haseł i ponownego użycia ich na wielu kontach.
    • Limit liczba nieudanych prób haseł
      Ograniczenie nieudanych prób haseł może pomóc zapewnić bezpieczeństwo konta, uniemożliwiając atakującym dostęp do nich, jeśli zgadają, że hasło nieprawidłowo zbyt wiele razy. Może to pomóc w ochronie konta przed atakami brutalnej siły, w których hakerzy używają wyrafinowanego oprogramowania i sztucznej inteligencji do generowania milionów różnych kombinacji, dopóki nie znajdzie właściwego.
    • Włącz funkcjonalność kopiowania i wklej w polach hasła
      NIST zaleca również zezwolenie na możliwość kopiowania i wklejania haseł do pól haseł, które chociaż wytyczne nie wymagają korzystania z oprogramowania do zarządzania hasłem, niniejsze wytyczne pozwalają na ich użycie. Menedżerowie haseł zapisują wszystkie hasła użytkowników w centralnej, zaszyfrowanej lokalizacji i pozwalają użytkownikom na kopiowanie i wklejanie w celu zalogowania się.
    • Wymagaj szkolenia użytkowników końcowych
      Ludzie pozostają najsłabszym linkiem w procesie bezpieczeństwa informacji, zapewnienie regularnego szkolenia jest jedną z najważniejszych rzeczy, które organizacje mogą zrobić, aby chronić przed atakami skierowanymi do ich pracowników. Dodatkowe zalecenia – nie używaj:
    • Słowa kontekstowe, takie jak nazwa usługi, nazwa użytkownika i pochodne
    • Hasła, które zostały naruszone w poprzednich naruszeniach
    • Słowa, które można znaleźć w słowniku
    • Powtarzające się lub sekwencyjne postacie („AAAAAAAA” lub „1234ABCD”)

    Wniosek

    Administratorzy powinni przejrzeć listę dostarczoną przez te bardzo wiarygodne źródła i egzekwować zalecane zasady spółki. Najważniejszą miarą bezpieczeństwa zalecaną zarówno przez Microsoft, jak i NIST jest wymaganie uwierzytelniania wieloskładnikowego dla wszystkich kont zawierających dane firmy. Na podstawie badań Microsoft twoje konto ma ponad 99.9% mniej prawdopodobne, że zostaniesz naruszony, jeśli używasz MFA.

    Menedżerowie haseł są proste w użyciu i mogą pomóc w generowaniu silnych unikalnych haseł i zapewnić bezpieczne rozwiązanie, aby pracownicy nie musieli pamiętać wszystkich swoich haseł. Jeśli zaimplementujesz rozwiązanie zarządzania hasłem, oto pięć rzeczy, o których należy pamiętać:

    • Wybierz długą hasło do hasła głównego do menedżera haseł i chroń je przed kradzieżą. Passowa może być wystarczająco długa, aby chronić przed atakami, jednocześnie umożliwiając zapamiętywanie.
    • Utwórz unikalne hasła dla wszystkich kont lub użyj możliwości większości menedżerów haseł do generowania losowych, unikalnych, złożonych haseł dla każdego konta.
    • Unikaj menedżerów haseł, które umożliwiają odzyskanie hasła głównego. Wszelkie kompromisy hasła głównego za pośrednictwem narzędzi odzyskiwania konta może naruszyć cały sklepienie hasła.
    • Użyj uwierzytelniania wieloskładnikowego do aplikacji menedżera programu, które umożliwiają tę możliwość.
    • Użyj funkcji generatora haseł w większości menedżerów haseł, aby generować złożone, losowe hasła, które spełniają pożądane wymagania dotyczące złożoności

    Jeśli nie zaimplementujesz menedżera haseł, ważne jest, aby zapewnić użytkownikom wskazówki, jak wybrać unikalne hasło dla każdego z ich kont. Jednym z najlepszych programów, jakie kiedykolwiek stworzono, jest nadal bardzo skuteczny, pochodzi od Schneiera w poście na blogu bezpieczeństwa z 2014 roku. Post na blogu przytoczył, że prawie wszystko, co można zapamiętać. Sugeruje połączenie niezapomnianego zdania z pewnymi osobistymi sztuczkami, aby zmodyfikować to zdanie w unikalne, niezapomniane hasło. To wyglądałoby coś takiego:

    • “tlpwent2tm” = “Ta mała świnka poszła na rynek”
    • Wiw7, Mstmsritt. = Kiedy miałem siedem lat, moja siostra rzuciła mojego nadziewanego królika w toalecie.
    • Wow… doestcst = wow, czy ta kanapa pachnie okropnie.

    Zwracając się do zasad haseł, bezpieczeństwo Twojej organizacji zostanie drastycznie ulepszone.

    Pobierz naszą listę kontrolną cyberbezpieczeństwa

    Aby uzyskać więcej zaleceń dotyczącej bezpieczeństwa cybernetycznego w celu ulepszenia zasad organizacji cyberbezpieczeństwo, skontaktuj się z Intellisuite .

    Czy nadal warto wymagać od użytkowników zmiany haseł?

    Tak długo, jak istnieje korporacja, użytkownicy byli zobowiązani do okresowej zmiany haseł. W rzeczywistości potrzeba zaplanowanych zmian haseł może być jednym z najbardziej długich najlepszych praktyk IT. Ostatnio jednak sprawy zaczęły się zmieniać. Microsoft odwrócił kurs najlepszych praktyk, jakie miał na miejscu od dziesięcioleci i nie zaleca się już organizacji wymagać od użytkowników okresowej zmiany haseł. Organizacje są zmuszane do rozważenia, być może po raz pierwszy, czy wymaganie okresowych zmian haseł jest dobrym pomysłem.

    Microsoft Password Reset zalecenia

    Według Microsoft, wymaganie od użytkowników zmiany haseł często wyrządza więcej szkody niż pożytku. Ludzie są notorycznie odporni na zmiany. Gdy użytkownik jest zmuszony zmienić hasło, często wymyśli nowe hasło oparte na ich poprzednim hasłach. Użytkownik może na przykład dołączyć numer do końca hasła, a następnie zwiększyć tę liczbę za każdym razem, gdy wymagane jest hasło. Podobnie, jeśli wymagane są miesięczne zmiany hasła, użytkownik może włączyć nazwę miesiąca w hasło, a następnie zmienić miesiąc za każdym razem, gdy wymagana jest zmiana hasła (na przykład mym@rchp@ssw0rd). Jeszcze bardziej niepokojące jest to, że badania udowodniły, że często można odgadnąć aktualne hasło użytkownika, jeśli znasz jego poprzednie hasło. W jednym z takich badań naukowcy odkryli, że byli w stanie odgadnąć 41% aktualnych haseł użytkownika w ciągu trzech sekund, jeśli znają poprzednie hasło użytkownika. Podczas gdy wymuszone zmiany hasła mogą powodować problemy, brak wymagania od użytkowników zmiany haseł może również powodować problemy. W tej chwili zidentyfikowanie naruszenia (Ponemon Institute, 2020) zajmuje organizację, 207 dni (Ponemon Institute, 2020). Mając to na uwadze, zastanów się, ile dłużej może zajmie określenie naruszenia, jeśli użytkownicy nie są zobowiązani do zmiany haseł. Cyberprzestępca, który uzyskał dostęp do systemu za pomocą skradzionego hasła, może potencjalnie uniknąć wykrywania na czas nieokreślony. Zamiast po prostu porzucić praktykę wymagania okresowych zmian haseł, lepiej jest rozwiązać problemy podstawowe, które mają tendencję do osłabienia bezpieczeństwa organizacji. Największym problemem związanym z wymaganymi zmianami haseł jest to, że częste wygaśnięcie hasła prowadzą do wyboru słabych haseł lub haseł, które są w jakiś sposób związane z ich poprzednim hasłem. Jednym ze sposobów uniknięcia tego problemu jest nagradzanie użytkowników za wybór silnych haseł. Niektóre narzędzia do zarządzania hasłem stron trzecich, na przykład Specops Policy hasła, są w stanie oprzeć częstotliwość resetowania hasła użytkownika na długości i złożoności hasła. Dlatego użytkownicy, którzy wybierają silne hasła, nie będą musieli zmieniać tych haseł tak często jak użytkownik, który wybierze słabsze hasło. Ponadto organizacje powinny szukać rozwiązania do zarządzania hasłem, które daje im możliwość blokowania użytkowników przed używaniem haseł. Uszkodzone hasła to hasła, które zostały osądzone i dodane do tabel tęczy lub do podobnych baz danych, dzięki czemu atakującego niezwykle łatwo jest złamać hasło, niezależnie od jego złożoności. Chociaż istnieją dostawcy stron trzecich, którzy utrzymują listy haseł opartych na chmurze, o których wiadomo, że są zagrożone, ważne jest, aby zrozumieć, że globalna lista haseł Microsoft nie jest listą wyciekających haseł i nie spełnia zaleceń dotyczących zgodności dla listy denicznej hasła Denny listy. Drugim problemem, który często przypisuje wymagania dotyczące zmiany hasła, jest to, że użytkownicy, którzy są zmuszeni do często zmiany haseł, częściej zapominają o swoich hasłach. Prowadzi to do blokad konta i połączeń do pomocy gospodarczej. Najlepszym sposobem na uniknięcie tego problemu (i zmniejszenie kosztów pomocy technicznej w tym procesie) jest przyjęcie samoobsługowego rozwiązania resetowania hasła, które umożliwia użytkownikom resetowanie własnych haseł w bezpieczny sposób. Idąc dalej, organizacje, które chcą wymagać zmian haseł, mogą mieć niewielki wybór, ale przyjęcie rozwiązania do zarządzania hasłem stron trzecich. Microsoft usuwa swoje ustawienia zasad wygaśnięcia hasła z Windows, począwszy od wersji 1903. Pomimo zaleceń przeciwnych, istnieje zalety bezpieczeństwa wymagające od użytkowników okresowej zmiany haseł. Kluczem jest jednak wdrożenie takiego wymogu w sposób, który nie osłabia bezpieczeństwa organizacji. Dzięki rozwiązaniu hasła z oprogramowania Specops, organizacje mogą blokować ponad 2 miliardy naruszeń haseł. Rozwiązanie może pomóc organizacjom zabezpieczyć hasła, gdy egzekwowane są częste wygaśnięcie hasła.

    Znalazłem ten artykuł interesujący? Śledź nas na Twitterze  i LinkedIn do czytania bardziej ekskluzywnych treści, które publikujemy.

    Zmiana haseł nie jest już konieczna, mówi Microsoft

    Microsoft powiedział, że nie zaleca okresowych zmian haseł i że praktyka może w rzeczywistości pozostawić użytkowników bardziej otwartych na hakowanie.

    Dla wielu organizacji wymaganie od pracowników zmiany hasła po przypisanym okresie był standardową częścią praktyki bezpieczeństwa. Jednak Microsoft nie poleca to już, nazywając tę ​​praktykę “starożytny” I “przestarzały”.

    Zalecane raporty

    Raportslogo

    Nigdy nie ufaj, zawsze weryfikuj – czy zerowe zaufanie jest kolejną wielką rzeczą w cyberbezpieczeństwie?

    Raportslogo

    Codeless Tomorrow: mogą nisko kodować/zakodować platformy rewolucjonizować rozwój aplikacji w Digita.

    Inteligencja firm

    KCOM CORP.

    Microsoft Corp

    W poście na blogu na podstawie bezpieczeństwa w systemie Windows 10, Microsoft’Główny konsultant, Aaron Margosis, wyjaśnił, że kiedy użytkownicy są zmuszeni zbyt często zmieniać hasło, często sprawiają, że hasła są bardziej przewidywalne lub dokonają jedynie niewielkich zmian w istniejącym hasło.

    Zasady wygaśnięcia hasła są skuteczne tylko wtedy, gdy hasło zostało skradzione, post twierdzi. Jeśli tak się nie stało, zmiana go w niewielkim celu, a jeśli tak, użytkownicy muszą działać natychmiast, zamiast czekać na wygaśnięcie. Dlatego Margosis uważa, że ​​zmuszanie użytkowników do regularnej zmiany hasła może “zdobądź te problemy bez żadnej korzyści”.

    Zamiast tego inne zasady, takie jak listy zakazanych haseł, uwierzytelnianie wieloskładnikowe lub wykrywanie ataków zgadających hasło, mogą być bardziej skuteczne, a nawet złagodzić potrzebę okresowego wygaśnięcia hasła.

    Z tego powodu firma zaktualizowała swoją poradę dla firm, mówiąc to “łagodzenie o bardzo niskiej wartości, a my nie’uwierz w to’warto dla naszej wartości bazowej, aby egzekwować dowolną konkretną wartość”.

    Jednak Microsoft utrzymuje, że organizacje mogą nadal “Wybierz wszystko, co najlepsze, pasuje do ich postrzeganych potrzeb”.

    Firma zaleca, aby użytkownicy używali tylko haseł “losowy i silny” I “zdecydowanie zaleca” że organizacje wprowadzają dodatkowe zabezpieczenia.

    “Pokorne hasło w żadnym wypadku nie jest martwe”

    Andy Cory, kierownik ds. Zarządzania tożsamością w KCOM powiedział:

    “Prawda jest taka, że ​​technologia przeszła przez etap, w którym nieustannie potrzebujemy zresetowania haseł. To’nie powiedzieć, że hasła nie są ważne – skuteczne zarządzanie hasłami jest jednym z najważniejszych aspektów obrony korporacyjnej. To nie’to, jak silny jest twój obwód lub jak inteligentne wykrywanie naruszenia – jeśli użytkownicy’ Konta można pękać z przodu, jeśli ich hasła mogą być odgadnięte lub skradzione, wówczas Twoja firma jest tak dobra, jak bezbronne.

    Po tym, jak konto zostanie naruszone w ten sposób, atakujący często będzie w stanie uzyskać dostęp do całej mnóstwa wrażliwych informacji bez ustanawiania żadnych wewnętrznych alarmów, z nieobliczalnym potencjalnym wpływem organizacji.

    “Pokorne hasło w żadnym wypadku nie jest martwe. To’po prostu czas, aby firmy opracowali bardziej inteligentną strategię niż zasady wygaśnięcia hasła. Częste zmiany haseł zachęcają złe hasła, podczas gdy dobre hasło nie trzeba tego często zmieniać. Organizacje powinny rozważyć porzucenie historycznego polegania na wygaśnięcie hasła na korzyść bardziej nakazowej zasady siły hasła, zapewniając, że silne, ale użyteczne zasady hasła i najlepiej uwierzytelnianie wieloskładnikowe jest wprowadzone. W ramach tego’jest również ważne, aby mieć infrastrukturę o dużej pojemności, która może niezawodnie i bezpiecznie obsługiwać dane uwierzytelniania-tylko wtedy możesz dopasować wrażenia użytkownika do potrzeb bezpieczeństwa.”