Microsoft Entra Password Protection kullanarak hatalı parolaları ortadan kaldırma

Birçok güvenlik kılavuzu, parolayı karmaşık hale getirmek ve Password123 gibi basit parolalardan kaçınmak için aynı parolayı birden çok yerde kullanmamanızı önerir. Kullanıcılarınıza parola seçme konusunda rehberlik sağlayabilirsiniz, ancak zayıf veya güvenli olmayan parolalar genellikle kullanılır. Microsoft Entra Password Protection bilinen zayıf parolaları ve bunların çeşitlerini algılar ve engeller ve kuruluşunuza özgü diğer zayıf terimleri de engelleyebilir.

Microsoft Entra Parola Koruması ile, varsayılan genel yasaklanmış parola listeleri bir Microsoft Entra kiracısında tüm kullanıcılara otomatik olarak uygulanır. Kendi iş ve güvenlik gereksinimlerinizi desteklemek için özel bir yasaklanmış parola listesinde girdiler tanımlayabilirsiniz. Kullanıcılar parolalarını değiştirdiğinde veya sıfırladığında, bu yasaklanmış parola listeleri güçlü parolaların kullanılmasını zorunlu kılmak için denetlenir.

Yalnızca Microsoft Entra Parola Koruması tarafından zorunlu kılınan güçlü parolalara güvenmek yerine Microsoft Entra çok faktörlü kimlik doğrulaması gibi diğer özellikleri kullanmanız gerekir. Oturum açma etkinlikleriniz için birden çok güvenlik katmanı kullanma hakkında daha fazla bilgi için bkz . Pa$$word önemli değil.

Önemli

Bu kavramsal makalede bir yöneticiye Microsoft Entra Parola Koruması'nın nasıl çalıştığı açıklanmaktadır. Self servis parola sıfırlama için zaten kayıtlı bir son kullanıcıysanız ve hesabınıza yeniden girmeniz gerekiyorsa adresine gidin https://aka.ms/sspr.

BT ekibiniz kendi parolanızı sıfırlama özelliğini etkinleştirmediyse yardım masanıza ulaşın.

Genel yasaklanmış parola listesi

Microsoft Entra Kimlik Koruması ekibi, yaygın olarak kullanılan zayıf veya güvenliği aşılmış parolaları bulmak için Microsoft Entra güvenlik telemetri verilerini sürekli olarak analiz eder. Özellikle, analiz genellikle zayıf parolalar için temel olarak kullanılan temel terimleri arar. Zayıf terimler bulunduğunda , bunlar genel yasaklanmış parola listesine eklenir. Genel yasaklanmış parola listesinin içeriği herhangi bir dış veri kaynağına değil, Microsoft Entra güvenlik telemetrisi ve analizinin sonuçlarına dayanır.

Microsoft Entra kiracısında herhangi bir kullanıcı için parola değiştirildiğinde veya sıfırlandığında, parolanın gücünü doğrulamak için genel yasaklanmış parola listesinin geçerli sürümü kullanılır. Bu doğrulama denetimi, tüm Microsoft Entra müşterileri için daha güçlü parolalar sağlar.

Genel yasaklanmış parola listesi, Bir Microsoft Entra kiracısında tüm kullanıcılara otomatik olarak uygulanır. Etkinleştirilecek veya yapılandırılacak hiçbir şey yoktur ve devre dışı bırakılamaz. Bu genel yasaklanmış parola listesi, Microsoft Entra Id aracılığıyla kendi parolalarını değiştirdiklerinde veya sıfırladıklarında kullanıcılara uygulanır.

Not

Siber suçlular, yaygın zayıf parolaları ve çeşitlemeleri belirlemek için saldırılarında da benzer stratejiler kullanır. Güvenliği geliştirmek için Microsoft, genel yasaklanmış parola listesinin içeriğini yayımlamaz.

Özel yasaklanmış parola listesi

Bazı kuruluşlar güvenliği geliştirmek ve genel yasaklanmış parola listesinin üzerine kendi özelleştirmelerini eklemek istiyor. Kendi girdilerinizi eklemek için özel yasaklanmış parola listesini kullanabilirsiniz. Özel yasaklanmış parola listesine eklenen terimler, aşağıdaki örnekler gibi kuruluşa özgü terimlere odaklanmalıdır:

  • Marka adları
  • Ürün adları
  • Şirket merkezi gibi konumlar
  • Şirkete özgü iç terimler
  • Belirli bir şirket anlamı olan kısaltmalar

Koşullar özel yasaklanmış parola listesine eklendiğinde, genel yasaklanmış parola listesindeki terimlerle birleştirilir. Daha sonra parola değiştirme veya sıfırlama olayları, bu yasaklanmış parola listelerinin birleşik kümesinde doğrulanır.

Not

Özel yasaklanmış parola listesi en fazla 1000 terimle sınırlıdır. Çok büyük parola listelerini engellemek için tasarlanmamıştır.

Özel yasaklanmış parola listesinin avantajlarından tam olarak yararlanmak için, özel yasaklananlar listesine terim eklemeden önce parolaların nasıl değerlendirildiğinden emin olun. Bu yaklaşım, çok sayıda zayıf parolayı ve bunların değişkenlerini etkili bir şekilde algılamanızı ve engellemenizi sağlar.

Kimlik Doğrulama Yöntemleri altında özel yasaklanmış parola listesini değiştirme

Contoso adlı bir müşteri düşünelim. Şirket Londra merkezlidir ve Widget adlı bir ürün yapar. Bu örnek müşteri için, bu koşulların belirli çeşitlemelerini engellemeye çalışmak boşa harcanmış ve daha az güvenli olacaktır:

  • "Contoso!1"
  • "Contoso@London"
  • "ContosoWidget"
  • "! Contoso"
  • "LondonHQ"

Bunun yerine, aşağıdaki örnekler gibi yalnızca temel terimleri engellemek çok daha verimli ve güvenlidir:

  • "Contoso"
  • "Londra"
  • "Pencere Öğesi"

Parola doğrulama algoritması daha sonra zayıf varyantları ve birleşimleri otomatik olarak engeller.

Özel yasaklanmış parola listesi kullanmaya başlamak için aşağıdaki öğreticiyi tamamlayın:

Parola spreyi saldırıları ve üçüncü taraf güvenliği aşılmış parola listeleri

Microsoft Entra Password Protection, parola spreyi saldırılarına karşı savunmanıza yardımcı olur. Çoğu parola spreyi saldırısı, belirli bir hesaba birkaç kezden fazla saldırmaya çalışmaz. Bu davranış, hesap kilitleme veya başka yollarla algılama olasılığını artırır.

Bunun yerine, çoğu parola spreyi saldırısı kuruluştaki hesapların her birine karşı bilinen en zayıf parolalardan yalnızca birkaçını gönderir. Bu teknik, saldırganın kolayca güvenliği aşılmış bir hesabı hızla aramasına ve olası algılama eşiklerinden kaçınmasına olanak tanır.

Microsoft Entra Password Protection, parola spreyi saldırılarında kullanılma olasılığı bilinen tüm zayıf parolaları etkili bir şekilde engeller. Bu koruma, genel yasaklanmış parola listesini oluşturmak için Microsoft Entra Id'den alınan gerçek dünya güvenlik telemetri verilerini temel alır.

Daha önce genel olarak bilinen güvenlik ihlallerinde gizliliği ihlal edilmiş milyonlarca parolayı numaralandıran bazı üçüncü taraf web siteleri vardır. Üçüncü taraf parola doğrulama ürünlerinin bu milyonlarca parolaya karşı deneme yanılma karşılaştırmasına dayalı olması yaygındır. Ancak bu teknikler, parola spreyi saldırganları tarafından kullanılan tipik stratejiler göz önüne alındığında genel parola gücünü artırmanın en iyi yolu değildir.

Not

Genel yasaklanmış parola listesi, güvenliği aşılmış parola listeleri de dahil olmak üzere üçüncü taraf veri kaynaklarını temel almamaktadır.

Genel yasaklananlar listesi bazı üçüncü taraf toplu listelerle karşılaştırıldığında küçük olsa da, gerçek parola spreyi saldırılarına göre gerçek dünya güvenlik telemetrisinden kaynaklanır. Bu yaklaşım, genel güvenlik ve verimliliği artırır ve parola doğrulama algoritması akıllı belirsiz eşleştirme tekniklerini de kullanır. Sonuç olarak, Microsoft Entra Password Protection en yaygın zayıf parolalardan milyonlarcasının kuruluşunuzda kullanılmasını etkili bir şekilde algılar ve engeller.

Şirket içi karma senaryolar

Birçok kuruluşun şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ortamlarını içeren bir karma kimlik modeli vardır. Microsoft Entra Password Protection'ın güvenlik avantajlarını AD DS ortamınıza genişletmek için bileşenleri şirket içi sunucularınıza yükleyebilirsiniz. Bu aracılar, Şirket içi AD DS ortamındaki parola değiştirme olaylarının Microsoft Entra Id ile aynı parola ilkesine uymasını gerektirir.

Daha fazla bilgi için bkz . AD DS için Microsoft Entra Password Protection'ı zorunlu kılma.

Parolalar nasıl değerlendirilir?

Bir kullanıcı parolasını değiştirdiğinde veya sıfırladığında, yeni parolanın gücü ve karmaşıklığı, genel ve özel yasaklı parola listelerindeki birleşik terimler listesine göre doğrulanarak denetlenir.

Bir kullanıcının parolası yasaklı bir parola içeriyor olsa bile, genel parola yeterince güçlüyse parola kabul edilebilir. Yeni yapılandırılan parola, kabul edilmesi mi yoksa reddedilmesi mi gerektiğini belirlemek üzere genel gücünü değerlendirmek için aşağıdaki adımlardan geçer.

Not

Microsoft Entra Id'de parola koruması, şirket içi kullanıcılar için parola koruması ile bağıntılı değildir. Parola korumasındaki doğrulamalar iki hizmetteki kullanıcılar için tutarlı değildir. Kiracınızdaki kullanıcıların başlangıçta parolalarını ayarlarken veya SSPR'yi tamamlarken ilgili hizmet için gerekli parola parametrelerini karşıladığından emin olun.

1. Adım: Normalleştirme

Yeni bir parola ilk olarak bir normalleştirme işleminden geçer. Bu teknik, küçük bir dizi yasaklanmış parolanın çok daha büyük bir zayıf parola kümesiyle eşlenmesine olanak tanır.

Normalleştirme aşağıdaki iki bölümden oluşur:

  • Tüm büyük harfler küçük harfe değiştirilir.

  • Ardından, aşağıdaki örnekte olduğu gibi ortak karakter değiştirmeleri gerçekleştirilir:

    Özgün harf Değiştirilen harf
    0 o
    1 l
    $ s
    @ a

Aşağıdaki örneği inceleyin:

  • Parola "boş" yasaklandı.
  • Kullanıcı parolasını "Bl@nK" olarak değiştirmeye çalışır.
  • "Bl@nk" yasaklanmamış olsa da, normalleştirme işlemi bu parolayı "boş" olarak dönüştürür.
  • Bu parola reddedilir.

2. Adım: Parolanın yasaklanmış olarak kabul edilip değerlendirilmediğini denetleyin

Daha sonra diğer eşleşen davranışlar için bir parola incelenerek bir puan oluşturulur. Bu son puan, parola değişikliği isteğinin kabul edildi mi yoksa reddedildi mi olduğunu belirler.

Benzer eşleşme davranışı

Benzer eşleşme, genel veya özel yasaklanmış parola listelerinde bulunan bir parola içerdiğini belirlemek için normalleştirilmiş parolada kullanılır. Eşleştirme işlemi, bir (1) karşılaştırmanın düzenleme mesafesine dayanır.

Aşağıdaki örneği inceleyin:

  • "abcdef" parolası yasaklanmıştır.

  • Kullanıcı parolasını aşağıdakilerden biriyle değiştirmeye çalışır:

    • 'abcdeg' - son karakter 'f' olan 'g' olarak değiştirildi
    • Sonuna eklenen 'abcdefg' - 'g'
    • 'abcde' - sondaki 'f' sonundan silindi
  • Yukarıdaki parolaların her biri özel olarak yasaklanmış parola "abcdef" ile eşleşmiyor.

    Ancak, her örnek yasaklanan 'abcdef' teriminin 1'inin düzenleme mesafesinde olduğundan, hepsi "abcdef" ile eşleşme olarak kabul edilir.

  • Bu parolalar reddedilir.

Alt dize eşleştirme (belirli terimlerde)

Alt dize eşleştirme, normalleştirilmiş parolada kullanıcının adını ve soyadını ve kiracı adını denetlemek için kullanılır. Şirket içi karma senaryolar için AD DS etki alanı denetleyicisinde parolalar doğrulanırken kiracı adı eşleştirmesi yapılmaz.

Önemli

Alt dize eşleştirmesi yalnızca en az dört karakter uzunluğundaki adlar ve diğer terimler için zorlanır.

Aşağıdaki örneği inceleyin:

  • Parolasını "p0LL23fb" olarak sıfırlamak isteyen Poll adlı bir kullanıcı.
  • Normalleştirmeden sonra bu parola "poll23fb" olur.
  • Alt dize eşleştirme, parolanın kullanıcının adını "Yoklama" olarak içerdiğini bulur.
  • "poll23fb" özellikle yasaklanmış parola listesinde olmasa da alt dize eşleştirmesi parolada "Yoklama" buldu.
  • Bu parola reddedilir.

Puan Hesaplaması

Bir sonraki adım, kullanıcının normalleştirilmiş yeni parolasında tüm yasaklanmış parola örneklerini belirlemektir. Puanlar aşağıdaki ölçütlere göre atanır:

  1. Bir kullanıcının parolasında bulunan her yasaklanmış parolaya bir nokta verilir.
  2. Yasaklanmış parolanın parçası olmayan her karaktere bir nokta verilir.
  3. Parolanın kabul edilmesi için en az beş (5) nokta olması gerekir.

Sonraki iki örnek senaryo için Contoso, Microsoft Entra Parola Koruması kullanıyor ve özel yasaklanmış parola listesinde "contoso" var. "Boş" ifadesinin genel listede olduğunu da varsayalım.

Aşağıdaki örnek senaryoda, kullanıcı parolasını "C0ntos0Blank12" olarak değiştirir:

  • Normalleştirmeden sonra bu parola "contosoblank12" olur.

  • Eşleşen işlem, bu parolanın iki yasaklanmış parola içerdiğini bulur: "contoso" ve "blank".

  • Bu parolaya aşağıdaki puan verilir:

    [contoso] + [blank] + [1] + [2] = 4 nokta

  • Bu parola beş (5) noktanın altında olduğundan reddedilir.

Şimdi paroladaki karmaşıklığın kabul edilecek gerekli sayıda nokta oluşturabileceğini göstermek için biraz farklı bir örneğe bakalım. Aşağıdaki örnek senaryoda, kullanıcı parolasını "ContoS0Bl@nkf9!" olarak değiştirir:

  • Normalleştirmeden sonra bu parola "contosoblankf9!" olur.

  • Eşleşen işlem, bu parolanın iki yasaklanmış parola içerdiğini bulur: "contoso" ve "blank".

  • Bu parolaya aşağıdaki puan verilir:

    [contoso] + [blank] + [f] + [9] + [!] = 5 nokta

  • Bu parola en az beş (5) nokta olduğundan kabul edilir.

Önemli

Yasaklanan parola algoritması ve genel yasaklanmış parola listesi, Azure'da devam eden güvenlik analizi ve araştırmalarına göre herhangi bir zamanda değişiklik yapabilir ve yapabilir.

Karma senaryolardaki şirket içi DC aracı hizmeti için güncelleştirilmiş algoritmalar yalnızca DC aracı yazılımı yükseltildikten sonra etkinleşir.

Kullanıcıların ne görecek

Kullanıcı bir parolayı yasaklanacak bir parolayla sıfırlamaya veya değiştirmeye çalıştığında, aşağıdaki hata iletilerinden biri görüntülenir:

"Ne yazık ki, parolanız parolanızı kolayca tahmin edilebilir hale getiren bir sözcük, tümcecik veya desen içeriyor. Lütfen farklı bir parolayla yeniden deneyin."

"Bu parolayı daha önce çok kez gördük. Tahmin etmek daha zor bir şey seçin."

"İnsanların tahminde daha zor olduğu bir parola seçin."

Lisans gereksinimleri

Kullanıcılar Genel yasaklanmış parola listesiyle Microsoft Entra Parola Koruması Özel yasaklanmış parola listesiyle Microsoft Entra Parola Koruması
Yalnızca bulut kullanıcıları Microsoft Entra Kimliği Ücretsiz Microsoft Entra ID P1 veya P2
Şirket içi AD DS'den eşitlenen kullanıcılar Microsoft Entra ID P1 veya P2 Microsoft Entra ID P1 veya P2

Not

Microsoft Entra Id ile eşitlenmemiş şirket içi AD DS kullanıcıları, eşitlenmiş kullanıcılar için mevcut lisanslama temelinde Microsoft Entra Password Protection'dan da yararlanmaktadır.

Lisanslama hakkında daha fazla bilgi için bkz . Microsoft Entra fiyatlandırma sitesi.

Sonraki adımlar

Özel yasaklanmış parola listesi kullanmaya başlamak için aşağıdaki öğreticiyi tamamlayın:

Daha sonra şirket içi Microsoft Entra Parola Koruması'nı da etkinleştirebilirsiniz.