Рекомендации по использованию политик паролей в Office 365

Авторы: Квеку Ако Аджей (Kweku Ako Adjei)
Последнее обновление: 1 декабря 2017 г.

Одной из обязанностей администратора организации Office 365 является настройка политики паролей для пользователей. Это сложный процесс, но в данной статье вы найдете рекомендации, которые помогут защитить пароли вашей организации от атак.

Чтобы задать настраиваемую политику сложности паролей для организации, см. статью Настройка требований к сложности паролей в Azure AD B2C.

Чтобы задать срок действия паролей Office 365, см. статью Установка политики срока действия паролей для Office 365.

На чем основаны рекомендации

Рекомендации по выбору паролей основаны на нескольких общих принципах:

  • Предотвращение распространенных атак. Этот принцип предполагает ограничение того, где пользователи могут вводить пароли (известные и надежные устройства с надежными средствами обнаружения вредоносных программ, проверенные сайты) и какие пароли можно использовать (длина и уникальность).

  • Сдерживание успешных атак. Если пароль пользователя будет украден, необходимо минимизировать негативные последствия для определенной службы или полностью предотвратить ущерб. Например, важно использовать такие пароли, чтобы разглашение учетных данных социальной сети не делало уязвимым банковский счет, а на плохо защищенную учетную запись не приходили ссылки для сброса пароля от важной учетной записи.

  • Понимание человеческой природы. Многие разумные рекомендации не дают никакого результата из-за естественного человеческого поведения. Важно понимать психологию пользователей, так как исследования показывают, что практически все вводимые правила приводят к снижению качества паролей. Требования к длине, наличию специальных знаков и частоте изменения паролей приводят к их стандартизации и упрощают их угадывание или взлом.

Рекомендации для администраторов по выбору паролей

Самый важный шаг к защите паролей — обеспечение их разнообразия. Политика должна позволять создавать множество разных паролей, которые сложно отгадать. Ниже приведено несколько рекомендации, которые помогут защитить организацию.

  • Не увеличивайте минимальную длину паролей (8 символов). Больше не значит лучше.

  • Не требуйте использовать определенные группы символов, например *&(^%$.

  • Не требуйте регулярной смены паролей для учетных записей пользователей.

  • Запретите использовать распространенные пароли, чтобы в системе не было самых уязвимых паролей.

  • Попросите сотрудников не использовать пароли от рабочих учебных записей для личных целей.

  • Потребуйте использования многофакторной проверки подлинности.

  • Включите запросы многофакторной проверки подлинности с учетом рисков.

Рекомендации для пользователей по выбору паролей

Ниже приведены рекомендации для сотрудников вашей организации. Ознакомьте их с ними и примените рекомендуемые политики паролей на уровне организации.

  • Не используйте такие же пароли, как на других сайтах, или аналогичные им.

  • Не используйте в качестве пароля одно слово, например password, или частые фразы, например Iloveyou.

  • Используйте пароли, которые будет сложно угадать даже тем, кто хорошо вас знает. Не включайте в них имена и дни рождения своих родных и друзей, названия любимых групп или фразы, которые вы часто произносите.

Распространенные требования к паролям и их негативное влияние

Описанные ниже принципы управления паролями часто используются в компаниях, но, согласно исследованиям, это зачастую приводит к отрицательным последствиям.

Требования к окончанию срока действия паролей

Требования сменить пароль приносят больше вреда, чем пользы, так как из-за них пользователи выбирают предсказуемые пароли, состоящие из последовательных слов и чисел, которые близко связаны друг с другом. В таких случаях следующий пароль можно легко угадать на основе предыдущего. Требования к окончанию срока действия паролей не сдерживают атаки, так как злоумышленники почти всегда используют учетные данные сразу после их взлома.

Требование длинных паролей

Требование паролей длинной больше 10 знаков может привести к предсказуемым и нежелательным действиям пользователей. Например, если пароль должен быть 16-значным, пользователи могут повторять в паролях слова, например fourfourfourfour или passwordpassword, из-за чего их нетрудно угадать. Кроме того, требования к длине пароля повышают вероятность других небезопасных действий. Так, пользователи могут записывать пароли, повторно использовать их или хранить их в незашифрованном виде в своих документах. Чтобы пользователям было проще придумывать уникальные пароли, рекомендуем использовать разумную минимальную длину (8 символов).

Требование использования нескольких типов символов

Требования к сложности приносят больше вреда, чем пользы, так как из-за них пользователи часто действуют предсказуемо. В большинстве систем есть определенные требования к сложности паролей. Например, пароли должны содержать знаки из всех трех категорий:

  • прописные буквы;

  • строчные буквы;

  • небуквенные символы.

Большинство людей создают пароли аналогичным образом: начинают их с большой буквы и заканчивают их символом, перед которым стоит число. Киберпреступники знают это, поэтому при атаках перебором по словарю они используют самые популярные замены, например $ вместо s, @ вместо a и 1 вместо l. Если заставить сотрудников использовать в паролях буквы в верхнем и нижнем регистре, цифры и специальные символы, это отрицательно повлияет на безопасность. Некоторые требования к сложности вообще делают невозможным использование надежных и запоминающихся паролей.

Рекомендации

Ниже приведены некоторые рекомендации, которые помогут обеспечить разнообразие паролей.

Запретите распространенные пароли

Самое важное, что следует сделать, — это запретить использование распространенных паролей, чтобы снизить уязвимость организации для атак методом перебора. Такими паролями считаются, например, abdcefg, password, monkey.

Попросите сотрудников не использовать пароли организации для других целей

До сотрудников важно донести то, что пароли, используемые в организации, нельзя применять для других целей. Использование паролей организации на внешних сайтах значительно повышает вероятность их взлома.

Принудительно применяйте многофакторную проверку подлинности

Убедитесь, что пользователи обновили свои контактные данные и сведения для обеспечения безопасности, такие как запасной адрес электронной почты, номер телефона или устройство, зарегистрированное для получения push-уведомлений, чтобы они могли отвечать на запросы защиты и получать уведомления о событиях, касающихся безопасности. Это позволит им подтвердить свою личность, если они когда-нибудь забудут свой пароль или если кто-то попытается воспользоваться их учетной записью. Кроме того, наличие таких сведений позволяет использовать альтернативный канал для получения уведомлений о таких событиях, как попытки входа или изменение пароля.

Дополнительные сведения см. в статье Настройка многофакторной проверки подлинности.

Включите многофакторную проверку подлинности с учетом рисков

Многофакторная проверка подлинности с учетом рисков гарантирует, что если наша система обнаружит подозрительную активность, она выведет запрос, позволяющий убедиться, что действия выполнены владельцем учетной записи.

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×