密码策略建议的 Office 365

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

参与者: 谢德
上次更新时间 1 年 12 月,2017年

Office 365 组织的管理员,您是负责为您的组织中的用户设置密码策略。设置密码策略可复杂且混乱,并且这篇文章提供了使您的组织的攻击密码更安全的建议。

若要设置为您的组织自定义密码复杂性策略,请参阅Azure AD B2C: 配置的密码复杂性要求

要确定频率密码过期,您的组织中的 Office 365 请参阅设置 Office 365 的密码过期策略

了解密码建议

良好的密码做法分为几个类别:

  • 用常见的攻击这涉及的用户在其中输入密码 (已知和受信任的设备很好的恶意软件检测,验证网站),选择和密码 (长度和唯一性) 选择的选项。

  • 包含成功的攻击包含成功黑客攻击是有关限制到特定的服务,或完全,防止该损坏,如果获取盗取用户的密码。例如,确保您的社交网络凭据违反不使银行帐户,很容易,或不让较差受保护的帐户接受重置为重要的帐户的链接。

  • 了解人力资源性质许多有效密码做法失败在自然人行为。了解人力资源自然非常重要,这是因为调查显示您在您的用户施加几乎每个规则将导致密码质量的削弱。长度要求、 特殊字符要求和密码更改所有导致规范化的密码,这样使得更加轻松攻击猜测或拆开密码的要求。

面向管理员的密码准则

更安全的密码系统的主要目标是密码不同。您希望您的密码策略,以包含大量不同和难以猜测密码。下面是您的组织中保留尽可能安全的一些建议。

  • 维护 8 个字符的最小长度要求 (再不一定好)

  • 不需要字符组合要求。例如,* &(^%$

  • 不需要强制定期密码重置为用户帐户

  • 禁止常见的密码,以使最容易密码注销您的系统

  • 了解您的用户不用于非工作相关目的重新使用自己的组织的密码

  • 强制实施多重身份验证的注册

  • 启用基于风险多重身份验证质询

您的用户的的密码指南

下面是您的组织中的用户密码的一些指导。请确保让您了解有关这些建议和实施的建议的密码策略在组织级别的用户。

  • 不要使用相同的密码或任何其他网站上使用类似于

  • 不使用单个字词,例如,密码,或者如Iloveyou常用的短语

  • 设置密码难以猜测,甚至是那些了解很多,例如姓名和生日的朋友和家人、 常用区段和要使用的短语

一些常见的方法,以及其负面影响

以下是一些最常用的密码管理实践,但研究警告我们关于它们的负面影响。

用户的密码过期要求

密码过期要求执行大于好,因为这些要求进行选择连续的字词和其密切相关的每个数字组成的预测密码的用户。在以下情况下,可以根据以前的密码预测的下一个密码。密码过期要求提供任何控制好处,因为网络罪犯几乎始终使用的凭据,为他们有损它们。

所需的长密码

(大于关于 10 个字符) 的密码长度要求,可能会导致用户可预测并且不需要的行为。例如,需要具有 16 个字符的密码的用户可以选择重复模式如fourfourfourfourpasswordpassword满足字符长度要求,但不难以猜测。此外,用户将采用其他不安全的做法,如撰写自己的密码,向下、 重新使用它们,或将它们未加密在其文档中存储的可能性增加长度要求。要鼓励用户考虑唯一的密码,我们建议您使用保留合理 8 个字符的最小长度要求。

需要使用多个字符集

密码复杂性要求减少键空间,并会导致用户可预测执行大于很好的方式的行为。 大多数系统实施密码复杂性要求一定程度。例如,密码需要所有三个以下类别中的字符:

  • 大写字符

  • 小写字符

  • 非字母数字字符

大多数人使用类似的图案,例如,大写字母中的第一个位置、 符号的最后一个和最后一个 2 中的数字。网络罪犯知道,使其运行使用的最常见的替换为"s"的"$"词典攻击"@"为"l"的"a,""1"。特殊字符强制您的用户能够选择 upper、 lower、 数字的组合,具有负面影响。某些复杂性要求甚至阻止用户使用安全和令人难忘密码和它们强制转换提出不太安全和不太令人难忘的密码。

成功的图案

相反,下面是在鼓励密码不同的一些建议。

禁止常用密码

最重要的密码要求您应该将放在您的用户时创建的密码以禁止使用常见的密码,以减少您的组织的易受强制密码攻击。常见的用户密码包括abdcefg密码

了解用户不重新使用任何其他位置的组织密码

最重要的消息,可访问您的组织中的用户之一是不重新使用任何其他其组织的密码。使用组织外部的网站中的密码大大增加网络罪犯会有损这些密码的可能性。

强制实施多重身份验证注册

请确保您的用户更新联系信息和安全信息,如备选电子邮件地址、 电话号码或注册推送通知,这样他们便可以响应安全难题并安全事件通知的设备。 更新的联系信息和安全信息可帮助用户验证他们的身份,如果他们忘记了密码,或者如果其他人试图接管自己的帐户。此外提供了带通知通道对于安全事件出,如登录尝试,或更改密码。

若要了解详细信息,请参阅设置多重身份验证

启用基于风险多重身份验证

基于风险多重身份验证确保我们的系统检测到可疑的活动时,它可以挑战以确保它们是合法的帐户所有者的用户。

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×