Bättre och säkrare lösenord i ditt AAD/AD

Även om Microsoft och många andra har kommit väldigt långt att med olika tekniker komma ifrån lösenordsinloggning kommer vi nog ha klassiska lösenord kvar ett antal år till.

Lösenord är dock något som de flesta användarna tycker är krångligt, tråkigt och mest av allt något onödigt ont som man bara måste ta sig igenom. Majoriteten av våra användare lägger nog ingen större vikt av att lösenordet Sommar2018! är ett svagt lösenord, bara de lyckas komma igenom alla svåra lösenordpolicys och sätta ett godkänt lösenord.

Som tur är har vi genom åren lärt oss mycket om lösenord och vilka krav som faktiskt höjer säkerheten på våra lösenord. Vi har även lärt oss vilka lösenordpolicys som faktiskt riskerar att sänka säkerheten på lösenord.

Klassiskt tänk som att vi bör byta vårat lösenord med jämna mellanrum har nu ersatts av att vi bör sätta ett lösenord vi kan och kommer ihåg utan några krav på att byta detta såvida det inte blivit läckt/knäckt.

Det vi har lärt oss av detta är ett kontinuerligt krav på lösenordsbyte ofta resulterar i att man lägger till och ändrar några siffror och specialtecken i samma lösenord. Exempelvis ”Sommar2017” enbart byts mot ”Sommar2018” eller kanske ”Sommar2018!” Det här är något som även är känd av de som gör intrång och om vi tittar på attackerna de senaste åren har det skett en klar ökning av så kallade spray attacks. Dessa går ut på att man bygger upp en lista på de vanligaste förekommande lösenorden exempelvis ”Password” med alla dess varianter ”P@$$w0rd!” och så vidare. För att ta sig runt lock out policys och andra skydd testar med dessa lösenord mot alla identifierade användarkonton på ett företag.
Det räcker då att ett användarkonto eller värsta fall ett administrator-konto har ett lösenord som man tidigare trodde var starkt, ex. “P@$$w0rd!” eller  “$0mM@r!” blir knäckt, så riskerar man ett fulländat intrång.

Som tur är, är det inte bara the bad guys som blir duktigare och mer erfarna. Microsoft lägger enormt mycket resurser på att identifiera hur attacker går till för att lära sig att bygga allt bättre skydd mot de rådande attackerna.

Det senaste runt lösenordsskydd är Password Protection som är en funktion i Azure Active Directory som ökar skyddet både i Azure Active Directory och lokala Active Directoryt.

Tjänsten består av flera skydd för att öka lösenordssäkerheten och blockera intrång baserat på lösenordsförsök.

Det ingår dels en lista med de vanligaste lösenorden så kallade banned password list. Denna lista är i skrivande stund snart uppe i 1000 lösenord. Alla olika kombinationer av dessa lösenord blockeras också, vilket gör att flera miljoner lösenord kommer blockeras.

Då lösenord ofta innehåller namnet på företaget, den lokala orten med mera kan man även komplettera den här listan och ange lösenord som ofta förekommer i sin egen organisation och som kan vara lätt även för den som attackerar organisationen att identifiera. Även olika kombinationer av dessa lösenord kommer blockeras som i exemplet nedan för företaget MSSEC och Company

  • Mssec, mssec2018!, M$$3C…
  • Company, company2017?, c0mMp@ny

Eller varför inte “Sommar”, “Vinter” m.m. om det är något som kanske tidigare användes av Service Desk när de återställde lösenord

clip_image001[4]

För att även lösenord som sätts eller byts i det lokala Active Directory:t skall få samma skydd finns en proxy och agent som installeras lokalt och knyts med våra domänkontrollanter. Dessa hämtar och applicerar samma inställningar som vi konfigurerat i vårat Azure AD.

clip_image001[6]

Det här resulterar i att när en användare försöker sätta någon av dessa lösenordskombinationer kommer detta att blockeras.

Både om användaren försöker sätta ett lösenord från listan i det lokala ADt som i exemplet nedan

clip_image001[8] clip_image001[10]

Alternativt om användaren ändra det via självbetjäningsportalen i Azure AD

clip_image001[12] clip_image001[14]

Förutom att Password Protection motverkar att vanliga lösenord konfigurerats innehåller den även en funktion, så kallad Smart lockout för att blockera lösenordsintrång utan att låsa ut den faktiska användaren.

Om det pågår inloggningsförsök som enligt avancerade algoritmer tolkas som intrångsförsök kommer dessa inloggningar att stoppas med den riktiga användaren kan fortsätta jobba helt ostört.

Den här funktionen har funnits i Azure AD en längre tid oavsett licensform, men tack vare det nya gränssnittet med Custom smart lockout kan vi nu även anpassa skyddet och konfigurera känsligheten för sin egen organisation.

Detta gör att Password Protection både stöttar dina användare att sätta bättre och säkrare lösenord som inte är lika lätta att gissa sig fram till, samtidigt som den blockerar felaktiga inloggningsförsök utan att störa användaren.

Annonser
Det här inlägget postades i Azure Active Directory och har märkts med etiketterna , , . Bokmärk permalänken.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut /  Ändra )

Google+-foto

Du kommenterar med ditt Google+-konto. Logga ut /  Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut /  Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut /  Ändra )

Ansluter till %s