Рекомендации по использованию политик паролей в Office 365

Ознакомьтесь ко всем нашим контентом для малого бизнеса в разделе справка и обучения для малого бизнеса.

Как администратор организации вы отвечаете за настройку политики паролей для пользователей в организации. Настройка политики паролей может быть сложной и запутанной, и в этой статье приводятся рекомендации по повышению безопасности вашей организации от атак по паролю.

Облачные учетные записи Майкрософт имеют предопределенную политику паролей, которую нельзя изменить. Единственными элементами, которые можно изменить, является количество дней до истечения срока действия пароля и собственно наличие срока действия пароля.

Сведения о настройке строка действия паролей Microsoft 365 в организации, см. в статье Настройка политики срока действия паролей для Microsoft 365.

Подробнее о паролях Microsoft 365 см. следующие статьи по теме.

Сброс паролей

Установка бессрочных пользовательских паролей

Предоставление пользователям прав на самостоятельный сброс пароля

Повторная отправка пароля пользователя (статья)

Пора переосмыслить обязательные изменения паролей.

На чем основаны рекомендации

Рекомендации по выбору паролей основаны на нескольких общих принципах:

  • Предотвращение распространенных атак. Этот принцип предполагает ограничение того, где пользователи могут вводить пароли (известные и надежные устройства с надежными средствами обнаружения вредоносных программ, проверенные сайты) и какие пароли можно использовать (длина и уникальность).

  • Сдерживание успешных атак Сдерживание успешных атак хакеров связано с ограничением воздействия определенной службы или предотвращением этого ущерба в целом, если пароль пользователя будет украден. Например, убедитесь, что нарушение учетных данных социальной сети не сделает ваш банковский счет уязвимым или не позволить плохо защищенной учетной записи принимать ссылки сброса для важной учетной записи.

  • Понимание человеческой природы Многие допустимые методы работы с паролями не удается столкнуться с естественным поведением человека. Понимание человеческой природы имеет решающее значение, поскольку исследования показывают, что почти каждое правило, которое вы вводите пользователям, приводит к ослаблению качества паролей. Требования к длине, специальные требования к символам и требования к изменению пароля приводят к нормализации паролей, что упрощает злоумышленникам угадывание или взлом паролей.

Рекомендации по выбору паролей для администраторов

Самый важный шаг к защите паролей — обеспечение их разнообразия. Политика должна позволять создавать множество разных паролей, которые сложно отгадать. Ниже приведено несколько рекомендации, которые помогут защитить организацию.

  • Поддержание требования к минимальной длине четырнадцати символов

  • Не требуются требования к составу символов. Например, *&(^%$

  • Не требуйте регулярной смены паролей для учетных записей пользователей.

  • Запретите использовать распространенные пароли, чтобы в системе не было самых уязвимых паролей.

  • Обучение пользователей не использовать пароли организации повторно для не связанных с работой целей

  • Потребуйте использования многофакторной проверки подлинности.

  • Включение проблем многофакторной проверки подлинности на основе рисков

Рекомендации для пользователей по выбору паролей

Ниже приведены рекомендации для сотрудников вашей организации. Ознакомьте их с ними и примените рекомендуемые политики паролей на уровне организации.

  • Не используйте такие же пароли, как на других сайтах, или аналогичные им.

  • Не используйте в качестве пароля одно слово, например password, или частые фразы, например Iloveyou.

  • Трудно угадать пароли, даже людям, которые много знают о вас, таких как имена и дни рождения ваших друзей и семьи, ваши любимые группы и фразы, которые вы любите использовать

Распространенные требования к паролям и их негативное влияние

Это некоторые из наиболее часто используемых методов управления паролями, но исследования предупреждают нас об их негативном воздействии.

Требования к окончанию срока действия паролей

Требования к истечению срока действия паролей приносят больше вреда, чем пользы, так как они заставляют пользователей выбирать предсказуемые пароли, состоящие из последовательных слов и чисел, тесно связанных друг с другом. В таких случаях следующий пароль можно легко угадать на основе предыдущего. Требования к окончанию срока действия паролей не сдерживают атаки, так как злоумышленники почти всегда используют учетные данные сразу после их взлома.

Требования к минимальной длине пароля

Чтобы побудить пользователей подумать об уникальном пароле, рекомендуется соблюдать разумное требование минимальной длины из восьми символов.

Требование использования нескольких типов символов

Требования к сложности приносят больше вреда, чем пользы, так как из-за них пользователи часто действуют предсказуемо. В большинстве систем есть определенные требования к сложности паролей. Например, пароли должны содержать знаки из всех трех категорий:

  • прописные буквы;

  • строчные буквы;

  • небуквенные символы.

Большинство людей используют похожие шаблоны. Например, прописная буква в первой позиции, символ в последней и число в последних 2. Киберпреступники знают о таких шаблонах, поэтому они выполняют свои атаки по словарю, используя наиболее распространенные подстановки "$" для "s", "@" для "a", "1" для "l". Если заставить сотрудников использовать в паролях буквы в верхнем и нижнем регистре, цифры и специальные символы, это отрицательно повлияет на безопасность. Некоторые требования к сложности вообще делают невозможным использование надежных и запоминающихся паролей.

Рекомендации

Ниже приведены некоторые рекомендации, которые помогут обеспечить разнообразие паролей.

Запретите распространенные пароли

Самое важное, что следует сделать, — это запретить использование распространенных паролей, чтобы снизить уязвимость организации для атак методом перебора. К общим паролям пользователей относятся: abcdefg, password, monkey.

Попросите сотрудников не использовать пароли организации для других целей

До сотрудников важно донести то, что пароли, используемые в организации, нельзя применять для других целей. Использование паролей организации на внешних веб-сайтах значительно повышает вероятность того, что киберпреступники могут компрометации этих паролей.

Принудительно применяйте многофакторную проверку подлинности

Убедитесь, что пользователи обновили свои контактные данные и сведения для обеспечения безопасности, такие как запасной адрес электронной почты, номер телефона или устройство, зарегистрированное для получения push-уведомлений, чтобы они могли отвечать на запросы защиты и получать уведомления о событиях, касающихся безопасности. Это позволит им подтвердить свою личность, если они когда-нибудь забудут свой пароль или если кто-то попытается воспользоваться их учетной записью. Он также предоставляет канал уведомлений вне диапазона для событий безопасности, таких как попытки входа или измененные пароли.

Дополнительные сведения см. в статье Настройка многофакторной проверки подлинности.

Включение многофакторной проверки подлинности на основе рисков

Многофакторная проверка подлинности на основе рисков гарантирует, что, когда наша система обнаруживает подозрительные действия, она может заставить пользователя убедиться, что он является законным владельцем учетной записи.

Дальнейшие действия

Хотите узнать больше об управлении паролями? Ниже приведены некоторые рекомендации по чтению:

Сброс паролей
Установка бессрочных пользовательских паролей
Предоставление пользователям прав на самостоятельный сброс пароля
Повторная отправка пароля пользователя. Справка для администраторов