Zalecenia dotyczące zasad haseł dla haseł platformy Microsoft 365

Jako administrator usługi Microsoft 365 odpowiadasz za ustawianie zasad haseł dla użytkowników w organizacji. Ustawienie zasad haseł może być skomplikowane i mylące, a ten artykuł zawiera zalecenia, aby zapewnić bezpieczniejszą ochronę organizacji przed atakami haseł.

Konta tylko w chmurze firmy Microsoft mają wstępnie zdefiniowane zasady haseł, których nie można zmienić. Jedyne elementy, które można zmienić, to liczba dni, po których hasło wygaśnie i czy hasła w ogóle wygasną.

Aby określić, jak często hasła platformy Microsoft 365 wygasają w organizacji, zobacz Ustawianie zasad wygasania haseł dla platformy Microsoft 365.

Zrozumienie zaleceń dotyczących haseł

Dobre praktyki dotyczące haseł można podzielić na kilka ogólnych kategorii:

• Opór przed typowymi atakami: obejmuje to wybór miejsca, w którym użytkownicy wprowadzają hasła (znane i zaufane urządzenia z dobrym wykrywaniem złośliwego oprogramowania, zweryfikowanymi witrynami) oraz wybór hasła do wyboru (długość i unikatowość).

• Zawiera skuteczne ataki: Zawiera skuteczne ataki hakerów jest o ograniczenie narażenia na określoną usługę, lub zapobiegania tej szkody całkowicie, jeśli hasło użytkownika zostanie skradziony. Na przykład warto się upewnić, czy przechwycenie Twoich danych uwierzytelniających do sieci społecznościowej nie wpłynie na bezpieczeństwo Twojego konta bankowego, lub zapobiegać akceptowaniu przez słabo zabezpieczone konta łączy do resetowania hasła na ważnym koncie.

• Zrozumienie ludzkiej natury: Wiele prawidłowych praktyk dotyczących haseł kończy się niepowodzeniem w obliczu naturalnych zachowań człowieka. Zrozumienie ludzkiej natury ma kluczowe znaczenie, ponieważ badania pokazują, że prawie każda reguła narzucona użytkownikom powoduje osłabienie jakości haseł. Wymagania dotyczące długości, stosowania znaków specjalnych i zmian haseł powodują ujednolicenie haseł, co sprawia, że intruzom łatwiej jest je odgadnąć lub złamać.

Wskazówki dla administratorów dotyczące haseł

Aby system był bezpieczniejszy, hasła powinny być przede wszystkim bardziej zróżnicowane. Chcesz, aby zasady haseł zawierały wiele różnych i trudnych do odgadnięcia haseł. Oto kilka zaleceń dotyczących utrzymania jak najwyższego poziomu zabezpieczeń w organizacji.

• Zachowaj wymaganie dotyczące minimalnej długości 14 znaków. (Mimo że platforma Microsoft 365 wymaga co najmniej ośmiu znaków, w celu wzmocnienia zabezpieczeń zalecamy co najmniej 14 znaków).
• Nie używaj łatwych do odgadnięcia haseł, takich jak abcdefg lub password
• Edukowanie użytkowników, aby nie używać ponownie haseł organizacji w celach niepracowych
• Wymuszanie rejestracji na potrzeby uwierzytelniania wieloskładnikowego
• Włączanie wyzwań związanych z uwierzytelnianiem wieloskładnikowym opartym na ryzyku

Wskazówki dotyczące haseł dla użytkowników

Oto kilka wskazówek dotyczących haseł dla użytkowników w Twojej organizacji. Zadbaj o to, aby użytkownicy znali te zalecenia i egzekwuj stosowanie się do zalecanych zasad dotyczących haseł na poziomie organizacji.

• Nie używaj hasła podobnego do używanego w innych witrynach internetowych lub takiego samego.
• Nie używaj jednego słowa, na przykład , ani często używanej frazy, passwordtakiej jak Iloveyou
• Ustaw hasła, które są trudne do odgadnięcia, nawet przez ludzi, którzy wiedzą o Tobie wiele. Przykłady obejmują używanie nazwisk i urodzin znajomych i rodziny, ulubionych zespołów i fraz, których chcesz użyć

Blokowanie łatwych do odgadnięcia haseł

Najważniejszym wymaganiem dotyczącym haseł, które należy umieścić na użytkownikach podczas tworzenia haseł, jest zakaz używania łatwych do odgadnięcia haseł, które narażają organizację na ataki na hasła siłowe. Na przykład:

• abcdefg
• password
• monkey
• 123456

Edukowanie użytkowników, aby nie używać ponownie haseł organizacji nigdzie indziej

Jednym z najważniejszych komunikatów, które należy uzyskać dla użytkowników w organizacji, jest brak ponownego użycia hasła organizacji nigdzie indziej. Użycie haseł organizacji w zewnętrznych witrynach internetowych znacznie zwiększa prawdopodobieństwo naruszenia tych haseł przez cyberprzestępców.

Wymuszanie rejestracji uwierzytelniania wieloskładnikowego

Zadbaj o to, aby użytkownicy aktualizowali informacje kontaktowe i dotyczące bezpieczeństwa, takie jak alternatywny adres e-mail, numer telefonu lub urządzenie zarejestrowane na potrzeby powiadomień push. Dzięki temu będą mogli odpowiadać na komunikaty zabezpieczające i otrzymywać powiadomienia o zdarzeniach związanych z zabezpieczeniami. Aktualne dane kontaktowe i informacje dotyczące bezpieczeństwa ułatwiają użytkownikom zweryfikowanie ich tożsamości, jeżeli zdarzy im się zapomnieć hasło lub ktoś inny spróbuje przejąć ich konto. Udostępnia również kanał powiadomień poza pasmem dla zdarzeń zabezpieczeń, takich jak próby logowania lub zmienione hasła.

Aby dowiedzieć się więcej, zobacz Konfigurowanie uwierzytelniania wieloskładnikowego.

Włączanie uwierzytelniania wieloskładnikowego opartego na ryzyku

Uwierzytelnianie wieloskładnikowe oparte na ryzyku gwarantuje, że gdy nasz system wykryje podejrzane działania, może rzucić użytkownikowi wyzwanie, aby upewnić się, że jest on uprawnionym właścicielem konta.

Zawartość pokrewna

• Resetowanie haseł
• Zezwalaj użytkownikom na resetowanie własnych haseł
• Ponowne zapisywanie hasła użytkownika — Administracja Pomoc
• Pomoc dla małych firm & uczenia się