Рекомендации по использованию политик паролей в Office 365

Администратор Microsoft 365 отвечает за настройку политики паролей для пользователей в организации. Настройка политики паролей может быть сложной и запутанной, и в этой статье приводятся рекомендации по повышению безопасности вашей организации от атак по паролю.

Облачные учетные записи Майкрософт имеют предопределенную политику паролей, которую нельзя изменить. Единственными элементами, которые можно изменить, является количество дней до истечения срока действия пароля и собственно наличие срока действия пароля.

Последнее руководство Майкрософт не рекомендует использовать политики истечения срока действия паролей для облачных учетных записей. Рекомендуется использовать параметр, чтобы срок действия паролей не истекал.

Дополнительные сведения об использовании идентификатора Entra для справки по паролям см. в статье Устранение недопустимых паролей с помощью защиты паролем Microsoft Entra.

На чем основаны рекомендации

Рекомендации по выбору паролей основаны на нескольких общих принципах:

• Сопротивление распространенным атакам. Эта практика включает выбор того, где пользователи вводили пароли (известные и доверенные устройства с хорошим обнаружением вредоносных программ, проверенные сайты) и какие пароли использовать (длина и уникальность).

• Сдерживание успешных атак. В случае кражи пароля пользователя требуется ограничить доступ к определенной службе или вообще предотвратить этот ущерб. Например, убедитесь, что нарушение учетных данных социальной сети не сделает ваш банковский счет уязвимым или не позволить плохо защищенной учетной записи принимать ссылки сброса для важной учетной записи.

• Понимание человеческой природы. Многие допустимые методы использования паролей не справдают себя с естественным поведением человека. Понимание человеческой природы имеет решающее значение, поскольку исследования показывают, что почти каждое правило, которое вы вводите пользователям, приводит к ослаблению качества паролей. Требования к длине, специальные требования к символам и требования к изменению пароля приводят к нормализации паролей, что упрощает злоумышленникам угадывание или взлом паролей.

Рекомендации по выбору паролей для администраторов

Самый важный шаг к защите паролей — обеспечение их разнообразия. Вы хотите, чтобы политика паролей содержала множество различных паролей, которые трудно угадать. Ниже приведено несколько рекомендации, которые помогут защитить организацию.

• Сохраните требование минимальной длины 14 символов. (Хотя microsoft 365 требует не менее восьми символов, для более надежной безопасности рекомендуется не менее 14 символов.)
• Не используйте простые в угадывание пароли, такие как abcdefg или password
• Научить пользователей не использовать пароли организации повторно для нерабочих целей
• Принудительное применение регистрации для многофакторной проверки подлинности
• Включение политик рисков защиты идентификации
• Настройка сброса пароля в сочетании с приложением проверки подлинности.

Руководство по паролю для пользователей

Ниже приведены рекомендации для сотрудников вашей организации. Ознакомьте их с ними и примените рекомендуемые политики паролей на уровне организации.

• Не используйте такие же пароли, как на других сайтах, или аналогичные им.
• Не используйте одно слово, например , passwordили часто используемую фразу, например Iloveyou
• Установите пароли, которые трудно угадать, даже людям, которые много о вас знают. Примеры включают использование имен и дней рождения ваших друзей и семьи, ваших любимых групп и фраз, которые вы хотите использовать

Запрет простых для угадываемых паролей

Самое важное требование к паролю, которое следует установить для пользователей при создании паролей, — запретить использование простых для угадываемых паролей, которые делают вашу организацию уязвимой для атак методом подбора паролей. Вот некоторые примеры.

• abcdefg
• password
• monkey
• 123456

Попросите сотрудников не использовать пароли организации для других целей

До сотрудников важно донести то, что пароли, используемые в организации, нельзя применять для других целей. Использование паролей организации на внешних веб-сайтах значительно повышает вероятность того, что киберпреступники могут компрометации этих паролей.

Принудительное применение регистрации многофакторной проверки подлинности

Убедитесь, что пользователи обновили свои контактные данные и сведения для обеспечения безопасности, такие как запасной адрес электронной почты, номер телефона или устройство, зарегистрированное для получения push-уведомлений, чтобы они могли отвечать на запросы защиты и получать уведомления о событиях, касающихся безопасности. Это позволит им подтвердить свою личность, если они когда-нибудь забудут свой пароль или если кто-то попытается воспользоваться их учетной записью. Он также предоставляет канал уведомлений вне диапазона для событий безопасности, таких как попытки входа или измененные пароли.

Дополнительные сведения см. в статье Настройка многофакторной проверки подлинности.

Включение многофакторной проверки подлинности на основе рисков

Многофакторная проверка подлинности на основе рисков гарантирует, что, когда наша система обнаруживает подозрительные действия, она может заставить пользователя убедиться, что он является законным владельцем учетной записи.

Связанные материалы

• Настройка политики истечения срока действия пароля для Microsoft 365
• Сброс паролей
• Предоставление пользователям прав на самостоятельный сброс пароля
• Повторная отправка пароля пользователя. Справка для администраторов
• Малый бизнес помогает & обучения