Microsoft Passwort-Empfehlungen

0
347

Robyn Hicock von der Microsoft Identity-Protection-Team veröffentlichte ein Passwort Leitlinien-Papier vor kurzem, in der Empfehlungen gemacht, die IT-Administratoren und Benutzer in Bezug auf die Passwort-Sicherheit und-management.

Passwörter sind weit verbreitet auf dem heutigen Internet, lokale Netzwerke und sogar für einzelne Geräte, und während die Unternehmen haben begonnen, alternativen zu entwickeln, wird niemand ersetzen die Notwendigkeit für Passwörter für die Authentifizierung in Naher Zukunft.

Microsoft-Passwort-Empfehlungen für IT-Admins

microsoft account passwords

Die Firma ist Beratung von IT-Administratoren zu einem gewissen Grad ganz anders aus gängigen Praktiken in vielen Firmen-Netzwerken.

  1. Legen Sie eine Mindestlänge von 8 Zeichen für Passwörter (aber nicht unbedingt mehr).
  2. Entfernen Zeichen Zusammensetzung Anforderungen.
  3. Nicht erfordern periodische Passwort-resets.
  4. Ban häufigsten verwendeten Passwörter.
  5. Schulen Sie die Benutzer in Bezug auf das Kennwort wieder verwenden können.
  6. Durchsetzung der multi-Faktor-Authentifizierung-Registrierung.
  7. Aktivieren Risiko-basierte multi-Faktor-Authentifizierung Herausforderungen.

Die ersten drei Punkte Adresse, die sogenannte anti-patterns, die restlichen vier erfolgreichen oder nützlichen mustern. Diese sind weit verbreitet, während die Forschung legt nahe, dass die Durchsetzung hat negative Folgen, überwiegen Ihre Vorteile.

Anti-Patterns

Eine lange Passwörter

Microsoft schlägt vor, wenn Kennwörter mindestens acht Zeichen, aber nicht durchzusetzen längere Kennwörter (16 Zeichen zum Beispiel) als Benutzer können wählen, sich wiederholenden mustern zu treffen, die Länge Voraussetzung.

Ein weiterer Punkt erwähnenswert ist laut Microsoft ist, dass die meisten lange Passwörter, die die Benutzer sind verpflichtet zu wählen sind innerhalb von ein paar Zeichen die minimale Länge, was wiederum hilft, Angreifer in Ihren Attacken.

Längere Passwörter, zumindest jene, die nicht wiederholt Kennwörtern, führen kann zu unsicheren Praktiken wie das schreiben unten das Kennwort, speichern Sie es in den Dokumenten, oder neu-verwenden.

Microsoft erkennt an, dass längere Passwörter sind schwerer zu knacken, aber das wirklich starke Passwörter ! führen zwangsläufig zu schlechten Verhaltensweisen”.

Mehrere Zeichensätze

Viele Websites und Dienste erfordern, dass Kennwörter sind bestimmte Charakter-Typen, zum Beispiel mindestens ein groß-und Kleinbuchstabe und eine Zahl.

Diese Anforderungen führen zu schlechten Benutzer-Praktiken sowie laut Microsoft research. Viele Nutzer beginnen Passwörter mit einem Großbuchstaben und beenden Sie ihn mit einer Reihe von denen sind zwei der Anforderungen.

Bestimmte Ersatz, $ für S ! für 1 oder @ für a, sind ebenfalls Recht Häufig, und Angreifer konfigurieren Angriffe zu nutzen, wissen.

Passwort-Ablauf

Der Dritte und Letzte anti-pattern-Adressen regelmäßige resets der Kennwörter zwingen Benutzer, wählen Sie ein neues Kennwort in den Prozess.

Microsoft stellt fest, dass die Forschung hat gezeigt, dass Benutzer neigen dazu zu Holen, vorhersagbare Kennwörter wenn Sie die Kennwörter ablaufen, in der Regel basierend auf dem vorherigen Kennwort.

Es gibt Hinweise darauf, dass Benutzer, die erforderlich sind, ändern Sie Ihre Kennwörter Häufig, wählen Sie schwächere Passwörter mit zu beginnen und dann ändern Sie Sie in vorhersagbarer Weise, dass Angreifer können einfach erraten werden.

Erfolgreiche Muster

Verbot von gemeinsamen Passwörtern

Dies ist die wichtige Einschränkung, wenn es um die Erstellung von Kennwörtern, wie es reduziert die Auswirkungen der brute-force-Angriffe.

Microsoft-Konto-system verwendet die bewährte Praxis bereits. Wenn Sie versuchen, um eine gemeinsame Passwörter während der Konto-Erstellung, oder das Kennwort zurücksetzen, erhalten Sie die Meldung “wählen Sie ein Passwort, dass ist schwieriger für die Menschen zu erraten”.

Password Re-use Bildung

Mitarbeiter des Unternehmens müssen sich bewusst sein, dass die Wiederverwendung von Passwörtern kann schwerwiegende Konsequenzen für die Sicherheit. Wenn ein Mitarbeiter verwendet das gleiche Passwort, das er/Sie verwendet auf dem Rechner des Unternehmens anderswo, die Angreifer nutzen können erfolgreiche Angriffe gegen andere Konten, die Mitarbeiter zum Angriff auf das Firmen-Netzwerk als auch.

Multi-Faktor-Authentifizierung

Die letzten beiden Punkte gehen hand in hand. Microsoft schlägt vor, dass Unternehmen, die Aufrechterhaltung der Sicherheit von Informationen wie eine Alternative E-Mail-Adresse oder Telefonnummer. Dies kann verwendet werden, um Benutzer zu informieren, über Fragen, aber auch, um Benutzer zu authentifizieren, sollte die Notwendigkeit entstehen.

Microsoft nahm die folgenden Statistiken änderungen für Kunden mit Sicherheits-Informationen auf Ihr Konto:

  • Passwort-reset Erfolg springt von 67% auf 93%
  • Kompromiss recovery verbessert von 57% auf 81%
  • Benutzer Mortalitätsrate sinkt von 7% auf 3%, Monat für Monat

Anleitung für Benutzer

Abgesehen von der Bereitstellung von Leitlinien, um die system-und IT-Administratoren, Microsoft Passwort guidance paper bietet Anleitungen für Benutzer, wie gut.

  1. Verwenden Sie niemals ein (Microsoft -) Passwort auf einer anderen site.
  2. Stellen Sie sicher, dass Sie Ihre Sicherheitsinformationen (Alternative E-Mail-Adresse, Telefonnummer) aktuell sind.
  3. Ihre Identität zu überprüfen, wenn die Notwendigkeit entsteht, mit der Microsoft-Konto-Anwendung für Android.
  4. Erwägen Sie das aktivieren der zwei-Faktor-Authentifizierung, wenn möglich.
  5. Nicht verwenden, gemeinsame Passwörter, Wörter oder Phrasen oder persönliche Informationen bei der Auswahl von Passwörtern.
  6. Halten Sie das Betriebssystem, den browser und software auf dem neuesten Stand.
  7. Vorsichtig sein, verdächtige E-Mails und Webseiten.
  8. Installieren Sie ein antivirus-Programm.
  9. Machen Sie Gebrauch von Microsoft-Passwort und Windows-Hallo.
  10. Verwendung vertrauenswürdigen identity-Provider.

Schlusswort

Microsoft ‘ s guidelines geschrieben, für den durchschnittlichen Benutzer base. Es ist etwas überraschend, dass die Unternehmen nicht zu erwähnen, Passwort-Manager in das Papier, wie Sie auf einige der negative erwähnt in der IT-administrator Richtlinien.

Jetzt Sie: Was ist Ihr nehmen auf der Microsoft-Passwort-Empfehlungen?