Saltar para o conteúdo principal Este browser já não é suportado. Show
Atualize para o Microsoft Edge para tirar partido das mais recentes funcionalidades, atualizações de segurança e de suporte técnico. Eliminar palavras-passe más com a Proteção de Palavras-passe do Azure Active Directory
Neste artigoMuitas orientações de segurança recomendam que não use a mesma palavra-passe em vários locais, para torná-la complexa e para evitar palavras-passe simples como a Password123. Pode fornecer aos seus utilizadores orientações sobre como escolher palavras-passe, mas muitas vezes ainda são utilizadas palavras-passe fracas ou inseguras. A Azure AD Password Protection deteta e bloqueia senhas fracas conhecidas e suas variantes, e também pode bloquear termos fracos adicionais que são específicos da sua organização. Com a Azure AD Password Protection, as listas de senhas globais proibidas por defeito são automaticamente aplicadas a todos os utilizadores de um inquilino AD Azure. Para suportar as suas necessidades de negócio e segurança, pode definir entradas numa lista de palavras-passe proibidas sob medida. Quando os utilizadores alteram ou reiniciam as suas palavras-passe, estas listas de senhas proibidas são verificadas para impor a utilização de senhas fortes. Deve utilizar funcionalidades adicionais como autenticação multi-factor AZure AD, e não apenas confiar em palavras-passe fortes aplicadas pela Azure AD Password Protection. Para obter mais informações sobre a utilização de várias camadas de segurança para os seus eventos de entrada, consulte o seu Pa$$word não importa. Importante Este artigo conceptual explica a um administrador como funciona a Azure AD Password Protection. Se é um utilizador final já registado para redefinição da palavra-passe de autosserviço e precisa de voltar à sua conta, vá a https://aka.ms/sspr. Se a sua equipa de TI não tiver ativado a capacidade de redefinir a sua própria palavra-passe, contacte o seu helpdesk para obter assistência adicional. Lista global de senhas proibidasA equipa de Proteção de Identidade Azure AD analisa constantemente os dados de telemetria de segurança Azure AD à procura de senhas fracas ou comprometidas comumente usadas. Especificamente, a análise procura termos base que muitas vezes são usados como base para senhas fracas. Quando os termos fracos são encontrados, são adicionados à lista global de senhas proibidas. O conteúdo da lista global de palavras-passe proibidas não se baseia em nenhuma fonte de dados externa, mas nos resultados da telemetria e análise de segurança Azure AD. Quando uma palavra-passe é alterada ou reiniciada para qualquer utilizador num inquilino AZure AD, a versão atual da lista global de senhas proibidas é usada para validar a força da palavra-passe. Esta verificação de validação resulta em senhas mais fortes para todos os clientes AD Azure. A lista global de palavras-passe proibidas é aplicada automaticamente a todos os utilizadores de um inquilino AZure AD. Não há nada que permita ou configuure, e não pode ser desativado. Esta lista global de palavras-passe proibidas é aplicada aos utilizadores quando alteram ou reiniciam a sua própria palavra-passe através do Azure AD. Nota Os criminosos virtuais também usam estratégias semelhantes nos seus ataques para identificar senhas e variações fracas comuns. Para melhorar a segurança, a Microsoft não publica o conteúdo da lista global de palavras-passe proibidas. Lista de senhas proibidas personalizadasAlgumas organizações querem melhorar a segurança e adicionar as suas próprias personalizações no topo da lista global de senhas proibidas. Para adicionar as suas próprias entradas, pode utilizar a lista de palavras-passe proibidas sob medida. Os termos adicionados à lista de palavras-passe proibidas personalizadas devem ser focados em termos específicos da organização, tais como os seguintes exemplos:
Quando os termos são adicionados à lista de senhas proibidas personalizadas, são combinados com os termos na lista global de senhas proibidas. Os eventos de alteração de palavra-passe ou de reposição são então validados contra o conjunto combinado destas listas de senhas proibidas. Nota A lista de palavras-passe proibidas por medida está limitada a um máximo de 1000 termos. Não é projetado para bloquear listas extremamente grandes de senhas. Para aproveitar plenamente os benefícios da lista de palavras-passe proibidas personalizadas, primeiro entenda como são avaliadas as palavras-passe antes de adicionar termos à lista proibida personalizada. Esta abordagem permite detetar e bloquear de forma eficiente um grande número de senhas fracas e suas variantes. Vamos considerar um cliente chamado Contoso. A empresa tem sede em Londres e faz um produto chamado Widget. Para este cliente, por exemplo, seria desperdiçador e menos seguro tentar bloquear variações específicas destes termos, tais como:
Em vez disso, é muito mais eficiente e seguro bloquear apenas os termos-chave de base, tais como os seguintes exemplos:
O algoritmo de validação de palavra-passe bloqueia automaticamente variantes e combinações fracas. Para começar a usar uma lista de senhas proibidas personalizada, complete o seguinte tutorial: Ataques de spray de palavra-passe e listas de senhas comprometidas de terceirosA Azure AD Password Protection ajuda-o a defender-se contra ataques de spray de senha. A maioria dos ataques de spray de palavra-passe não tentam atacar qualquer conta individual mais do que algumas vezes. Este comportamento aumentaria a probabilidade de deteção, seja através do bloqueio de conta ou de outros meios. Em vez disso, a maioria dos ataques de spray de palavra-passe submete apenas um pequeno número das palavras-passe mais fracas conhecidas contra cada uma das contas de uma empresa. Esta técnica permite ao intruso procurar rapidamente uma conta facilmente comprometida e evitar possíveis limiares de deteção. A Azure AD Password Protection bloqueia eficientemente todas as palavras-passe fracas conhecidas suscetíveis de serem usadas em ataques de spray de palavra-passe. Esta proteção baseia-se em dados de telemetria de segurança no mundo real da Azure AD para construir a lista global de senhas proibidas. Existem alguns sites de terceiros que enumeram milhões de senhas que foram comprometidas em falhas de segurança anteriores conhecidas publicamente. É comum que os produtos de validação de senhas de terceiros sejam baseados na comparação bruta de força com aqueles milhões de senhas. No entanto, essas técnicas não são a melhor maneira de melhorar a força geral da palavra-passe, dadas as estratégias típicas usadas pelos atacantes do spray de palavra-passe. Nota A lista global de palavras-passe proibidas não se baseia em fontes de dados de terceiros, incluindo listas de senhas comprometidas. Embora a lista global de banidos seja pequena em comparação com algumas listas de terceiros, é proveniente de telemetria de segurança real em ataques de spray de senha real. Esta abordagem melhora a segurança e eficácia globais, e o algoritmo de validação de palavras-passe também usa técnicas inteligentes de correspondência. Como resultado, a Azure AD Password Protection deteta e bloqueia a utilização de milhões de palavras-passe fracas mais comuns na sua empresa. Cenários híbridos no localMuitas organizações têm um modelo de identidade híbrida que inclui ambientes de Serviços de Domínio de Diretório Ativo (AD DS) no local. Para estender os benefícios de segurança da Azure AD Password Protection para o seu ambiente DS AD, pode instalar componentes nos seus servidores no local. Estes agentes requerem eventos de mudança de palavra-passe no ambiente AD DS no local para cumprir a mesma política de senha que no Azure AD. Para obter mais informações, consulte a Proteção de Passwords AD Azure para DS AD. Como são avaliadas as palavras-passeQuando um utilizador altera ou repõe a palavra-passe, a nova palavra-passe é verificada quanto à força e complexidade, sendo validada face a uma lista combinada de termos das listas de palavras-passe globais e das palavras-passe personalizadas banidas. Mesmo que a palavra-passe de um utilizador contenha uma palavra-passe banida, a palavra-passe pode ser aceite se for, no geral, suficientemente forte. Uma palavra-passe recentemente configurada passa pelas seguintes etapas para avaliar a sua força global para determinar se deve ser aceite ou rejeitada: Passo 1: NormalizaçãoUma nova senha passa primeiro por um processo de normalização. Esta técnica permite que um pequeno conjunto de senhas proibidas seja mapeado para um conjunto muito maior de senhas potencialmente fracas. A normalização tem as seguintes duas partes:
Considere o exemplo seguinte:
Passo 2: Verifique se a palavra-passe é considerada proibidaUma palavra-passe é então examinada para outros comportamentos correspondentes, e uma pontuação é gerada. Esta pontuação final determina se o pedido de alteração de palavra-passe é aceite ou rejeitado. Comportamento de correspondência difusoA correspondência fuzzy é usada na palavra-passe normalizada para identificar se contém uma palavra-passe encontrada nas listas de senhas proibidas a nível global ou personalizado. O processo de correspondência baseia-se numa distância de edição de uma (1) comparação. Considere o exemplo seguinte:
Correspondência de sub-adstring (em termos específicos)A correspondência de substring é usada na palavra-passe normalizada para verificar o primeiro e último nome do utilizador, bem como o nome do inquilino. A correspondência do nome do inquilino não é feita quando se validam palavras-passe num controlador de domínio AD DS para cenários híbridos no local. Importante A correspondência de substring é aplicada apenas para nomes, e outros termos, que têm pelo menos quatro caracteres de comprimento. Considere o exemplo seguinte:
Cálculo de pontuaçãoO próximo passo é identificar todas as instâncias de senhas proibidas na nova senha normalizada do utilizador. Os pontos são atribuídos com base nos seguintes critérios:
Para os próximos dois cenários de exemplo, o Contoso está a usar a Azure AD Password Protection e tem "contoso" na sua lista de palavras-passe proibidas sob medida. Vamos também supor que "em branco" está na lista global. No seguinte cenário de exemplo, um utilizador altera a sua palavra-passe para "C0ntos0Blank12":
Vamos olhar um exemplo ligeiramente diferente para mostrar como a complexidade adicional numa palavra-passe pode construir o número necessário de pontos a serem aceites. No seguinte cenário de exemplo, um utilizador altera a sua palavra-passe para "ContoS0Bl@nkf9!":
Importante O algoritmo de senha proibido, juntamente com a lista global de senhas proibidas, pode e fazer mudanças a qualquer momento em Azure com base em análises e pesquisas de segurança em curso. Para o serviço de agente DC no local em cenários híbridos, os algoritmos atualizados só fazem efeito após a atualização do software do agente DC. O que os utilizadores veemQuando um utilizador tenta reiniciar ou alterar uma palavra-passe para algo que seria proibido, é apresentada uma das seguintes mensagens de erro: "Infelizmente, a sua palavra-passe contém uma palavra, frase ou padrão que torna a sua palavra-passe facilmente adivinhável. Por favor, tente novamente com uma senha diferente. "Já vimos essa palavra-passe demasiadas vezes. Escolha algo mais difícil de adivinhar." "Escolha uma senha que seja mais difícil para as pessoas adivinharem." Requisitos de licença
Nota Os utilizadores de DS AD no local que não estejam sincronizados com a Azure AD também beneficiam da Proteção de Password AD AZure com base no licenciamento existente para utilizadores sincronizados. Informações adicionais de licenciamento, incluindo custos, podem ser encontradas no site de preços do Azure Ative Directory. Passos seguintesPara começar a usar uma lista de senhas proibidas personalizada, complete o seguinte tutorial: Também pode então ativar no local a proteção de senha azure AD. Qual método testa todas as senhas possíveis até que uma correspondência seja encontrada?2 / 2 ptsPergunta 11 Qual método tenta todas as senhas possíveis até que uma correspondência seja encontrada? força brutaCorreto! Correto! https://81783902.netacad.com/courses/695545/quizzes/6180615 8 of 16 Refer to curriculum topic: 5.1.1 Dois métodos comuns para decifrar hashes são o dicionário e a força bruta.
Quais são os três algoritmos de assinatura digital atualmente aprovados pelo NIST?Para levar a cabo a assinatura digital existem algoritmos como o DSA, que foi proposto pelo National Institute of Standards and Technology (NIST) e mais tarde estandardizado, que se pode combinar um algoritmo de cifrado, como, por exemplo, o RSA, com alguma das funções HASH já vistas: o MD5, o MD2, o SHA-1, etc.
Quais são os três tipos de ataques que podem ser evitados ao utilizar Salting?2 / 2 ptsPergunta 3 Quais são os três tipos de ataques que podem ser evitados ao utilizar salting? (Escolha três.) navegação bisbilhoteira phishing adivinhação engenharia social rainbow tables Correto!
O que poderia ser implementado para impedir que os dois hashes das senhas sejam iguais?O que poderia ser implementado para impedir que os dois hashes das senhas sejam iguais? gerador pseudoaleatório RSA salting Correto!
|