Soovitused paroolipoliitika kohta teenusekomplektis Office 365

Kaasautorid: Kweku Ako Adjei
Viimati värskendatud 1. detsembril 2017

Teie kui Office 365 administraatori ülesanne on oma ettevõtte kasutajate jaoks määrata paroolipoliitika. Paroolipoliitika määramine võib olla keeruline ja segadusseajav, kuid sellest artiklist leiate soovitusi, mis aitavad ettevõtet paroolidega seotud rünnete eest kaitsta.

Ettevõttes kohandatud paroolikeerukuspoliitika määramiseks vt teemat Azure AD B2C: Paroolide keerukuse nõuete konfigureerimine.

Määramaks, kui tihti Office 365 paroolid teie ettevõttes aeguvad, vt teemat Office 365 paroolide aegumise poliitika määramine.

Paroolisoovituste ülevaade

Heade paroolitavadega on seotud paar üldist mõistet.

  • Üldrünnete vältimine. See hõlmab paroolisisestuskohtade (tuntud ja usaldusväärsed seaded kvaliteetse ründevaratõrjega, valideeritud saidid) ja kasutatava parooli valimist, täpsemalt parooli pikkust ja kordumatust.

  • Rünnete mõju minimeerimine. Häkkerirünnete mõju minimeerimine tähendab ründe raames teatud teenusele juurdepääsu tõkestamist või välistamist, kui kasutaja parool varastatakse. Näiteks tähendab see seda, et varastatud suhtlusvõrguparoolide abil ei pääse juurde teie pangakontole või et kehva turbega kontodele ei saadeta oluliste kontode lähtestuslinke.

  • Inimloomuse mõistmine. Paljud paroolitavad ei arvesta inimliku käitumise aspektidega. Inimloomuse mõistmine on oluline, sest uuringud näitavad, et peaaegu kõik kasutajatele kehtestatavad paroolireeglid muudavad paroolid nõrgemaks. Parooli pikkuste, erimärkide ja muutimissageduste nõuded muudavad paroolid ühetaolisteks, tänu millele saavad häkkerid paroole lihtsamini lahti murda või ära arvata.

Paroolijuhised administraatoritele

Turvalisema paroolisüsteemi aluseks on paroolide mitmekülgsus. Paroolipoliitika peaks sisaldama paljusid erinevaid ja raskesti äraarvatavaid paroole. Siin on paar soovitust ettevõtte turvalisuse tagamiseks.

  • Miinimumpikkus võiks olla 8 märki (pikk parool pole tingimata parem).

  • Ärge nõudke kohustuslike märkide kasutamist. Näiteks *&(^%$.

  • Ärge käskige kasutajatel paroole regulaarselt lähtestada.

  • Keelake levinud paroolid, et kõige nõrgemaid paroole süsteemist eemal hoida.

  • Andke oma kasutajatele märku, et ettevõttes kasutatavaid paroole ei tohiks muudel kontodel kasutada.

  • Nõudke mitmikautentimist.

  • Lülitage sisse riskipõhine mitmikautentimine

Paroolijuhised kasutajatele

Siin on toodud parooljuhised ettevõtte kasutajatele. Veenduge, et kasutajad oleksid nende soovitusega kursis, ja kehtestage soovituslikud paroolipoliitikad ettevõtte tasemel.

  • Ärge kasutage mõnel muul veebisaidil kasutatava parooliga sarnaseid paroole.

  • Ärge kasutage paroolina ühte sõna (nt password) ega levinud fraase (nt armastansind).

  • Kasutage paroole, mida ei oska ära arvata ka need inimesed, kes teid hästi tunnevad ja teavad näiteks teie sõprade ja pereliikmete nimesid ja sünnipäevi, teie lemmikbände ja -fraase.

Levinud lähenemiste puudused

Mitmed paroolihalduspoliitikad on väga levinud, kuigi uuringud näitavad, et need võivad hoopis negatiivselt mõjuda.

Kasutajate parooli aegumise nõuded

Parooli aegumise nõuded on pigem kahjulikud kui kasulikud, sest nende tulemusena valivad kasutajad lihtsaid paroole, mis koosnevad järjest valitud sõnadest ja arvudest, mis on omavahel seotud. Sel juhul saab järgmise parooli eelmise parooli põhjal kergesti ära arvata. Parooli regulaarse aegumise poliitikal pole erilist mõtet, sest küberkurjategijad kasutavad paroole peaaegu alati kohe pärast nende kättesaamist.

Pikkade paroolide nõudmine

Pikkade paroolide (üle 10 märgi) nõue võib kaasa tuua ebasoovitava kasutajakäitumise. Näiteks kasutajad, kellelt nõutakse 16 märgi pikkuseid paroole, võivad kasutada hoopis korduvaid mustreid (nt nelinelineli või paroolparool), mis muudab parooli küll pikaks, aga kergesti äraarvatavaks. Lisaks võivad pikkade paroolidega kaasneda muud ebaturvalised harjumused (nt paroolide üleskirjutamine, nende korduvalt kasutamine või krüptimata dokumentides talletamine). Et kasutajad mõtleksid välja kordumatuid paroole, soovitame paroolidele kehtestada mõistliku 8-märgise miinimumpiiri.

Eri märgistike kasutamise nõudmine

Parooli keerukuse nõuded vähendavad tegeliku parooli pikkust ja muudavad selle kergemini äraarvatavaks, põhjustades niimoodi rohkem kahju kui kasu. Enamik süsteeme kasutavad mingil moel parooli keerukuse nõudeid. Näiteks peavad paroolides olema märgid järgmisest kolmest kategooriast:

  • suurtähed,

  • väiketähed,

  • muud märgid peale numbrite ja tähtede.

Enamik inimesi kasutab sarnaseid mustreid, näiteks suurtäht esimesel kohal, sümbol viimasel ja number eelviimasel kohal. Küberkurjategijad teavad seda, nii et nad kasutavad sõnastikurünnete käigus sagedasemaid asendusi (nt „$“ tähe „s“ asemel, „@“ tähe „a“ asemel ja „1“ tähe „i“ asemel). Kasutajatelt suur- ja väiketähtede, numbrite ja erimärkide kasutamise nõudmisel võib olla negatiivne mõju. Mõni keerukuse nõue takistab kasutajatel turvaliste ja meeldejäävate paroolide kasutamist ja nõuab vähem turvaliste ja vähem meeldejäävate paroolide kasutamist.

Kasulikud mustrid

Seevastu siin on soovitused paroolide mitmekülgsemaks muutmiseks.

Sagedaste paroolide blokeerimine

Kõige olulisem paroolinõue kasutajatele peaks olema see, et nad ei tohi kasutada levinud paroolikombinatsioone. Nii saate vähendada ettevõtte haavatavust toore jõuga paroolide lahtimurdmise osas. Levinud paroolid võivad olla näiteks kujul abcdefg, password, ahvike.

Andke kasutajatele teada, et nad ei peaks ettevõtte paroole kuskil mujal kasutama

Üks olulisemaid nõudeid, millega kasutajad peaksid kursis olema, on ettevõtte parooli kasutamise vältimine muudes kohtades. Ettevõtte paroolide muudel veebisaitidel kasutamine suurendab oluliselt tõenäosust, et küberkurjategijad kasutavad neid paroole pahatahtlikel eesmärkidel.

Nõudke mitmikautentimisega registreerimist

Veenduge, et teie kasutajad värskendaksid kontakt- ja turbeteavet (nt alternatiivne meiliaadress, telefoninumber või tõuketeatiste saamiseks registreeritud seade), et nad saaksid turbeküsimustele vastata ja turbesündmustega kursis püsida. Värskendatud kontakt- ja turbeteave aitab kasutajal oma isiku tuvastada, kui ta oma parooli unustab või kui keegi teine tema kontot üle üritab võtta. Lisaks pakub see teatisekanalit, mille kaudu antakse teada turbesündmustest (nt sisselogimiskatsed või paroolide muutmised).

Lisateavet leiate teemast Mitmikautentimise häälestamine.

Riskipõhise mitmikautentimise sisselülitamine

Riskipõhine mitmikautentimine toimib nii, et kui meie süsteem tuvastab kahtlase tegevuse, palutakse kasutajal tõestada, et ta on konto tõeline omanik.

Täiendage Office'i kasutamise oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liituge Office Insideri programmiga

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×