Robyn Hicock av Microsoft Identity Protection Team publicerade ett Lösenord Vägledning nyligen i vilka rekommendationer som görs för att IT-administratörer och användare i fråga om att lösenord säkerhet och hantering.
Lösenord används i stor utsträckning på dagens Internet, lokala nätverk och till och med enskilda enheter, och även företag har börjat att utveckla alternativ, ingen kommer att ersätta behovet av lösenord för autentisering i en nära framtid.
Microsoft Lösenord Rekommendationer till IT-Administratörer
Bolagets råd till IT-administratörer är till en grad som är ganska annorlunda från vanliga metoder som används i många av företagets nätverk.
- Ange en minsta längd av 8 tecken för lösenord (men inte nödvändigtvis mer).
- Ta bort tecken krav.
- Inte kräva periodiska lösenord.
- Förbud vanligaste lösenord.
- Utbilda användarna i fråga om lösenord igen.
- Verkställa multi-faktor autentisering registrering.
- Aktivera risk-baserad multi-faktor autentisering utmaningar.
De första tre poäng adress så kallade anti-mönster, de återstående fyra framgångsrika eller positiva mönster. Dessa används ofta medan forskning tyder på att verkställigheten har negativa konsekvenser som kan uppväga fördelarna.
Anti-Patterns
Kräver långa lösenord
Microsoft föreslår att kräva lösenord ska vara minst åtta tecken, men inte för att verkställa längre lösenord (16 tecken för exempel) som användare kan välja att upprepa mönster för att möta längd krav.
En annan sak värd att notera enligt Microsoft är att majoriteten av långa lösenord som användare är skyldig att plocka ligger inom några tecken på minsta längd som i sin tur hjälper anfallare i sina attacker.
Längre lösenord, åtminstone de som inte använder upprepade lösenord, kan leda till osäkra metoder som till exempel att skriva ned lösenordet och spara det i dokument, eller återanvända det.
Microsoft medger att längre lösenord är svårare att knäcka, men att de riktigt starka lösenord ! oundvikligen att leda till dåliga beteenden”.
Flera teckenuppsättningar
Många webbplatser och tjänster kräver att lösenord är vissa typer av tecken, till exempel minst en versal och gemen bokstav och en siffra.
Dessa krav kan leda till dålig användaren praxis samt enligt Microsoft research. Många användare börjar lösenord med en bokstav och avsluta den med ett antal av dessa är två av kraven.
Vissa ersätter $ för S ! för 1 eller @ för en, är också ganska vanligt, och angriparna konfigurera attacker för att dra nytta av denna kunskap.
Lösenordet upphör att gälla
Den tredje och sista anti-mönster adresser periodiska återställer lösenord tvinga användarna att välja ett nytt lösenord till dig i processen.
Microsoft konstaterar att forskningen har visat att användare tenderar att plocka förutsägbar lösenord när lösenord går ut, oftast baserade på tidigare lösenord.
Det finns bevis som tyder på att användare som är skyldiga att ändra sina lösenord ofta väljer svagare lösenord som till att börja med och sedan ändra dem på förutsebart sätt att angripare kan gissa enkelt.
Framgångsrika Mönster
Att förbjuda vanliga lösenord
Detta är den mest viktiga begränsningar när det kommer till skapandet av lösenord eftersom det minskar effekten av “brute force” – attack.
Microsoft-Konto systemet använder sig av bästa praxis redan. När du försöker att välja en gemensam lösenord vid skapande av konto, eller återställning av lösenord, kommer du att få meddelandet “välj ett lösenord som är svårare för människor att gissa”.
Lösenord Återanvändning utbildning
Företagets anställda måste vara medvetna om att återanvända lösenord kan få allvarliga konsekvenser för säkerheten. Om en anställd använder samma lösenord som han/hon använder på företagets datorer på andra håll, angripare kan använda framgångsrika attacker mot andra konton som anställd för att attackera företagets nätverk.
Multi-Faktor autentisering
De två sista punkterna går hand i hand. Microsoft föreslår att företag upprätthålla säkerheten för information som en alternativ e-postadress eller telefonnummer. Detta kan användas för att informera användare om problem men också för att autentisera användare om behovet skulle uppstå.
Microsoft noterat följande statistik förändringar för konto kunder med information om säkerhet på sitt konto:
- Återställ lösenord framgång hoppar från 67% till 93%
- Kompromiss förbättrar återhämtningen från 57% till 81%
- Användaren personalomsättningen faktiskt sjunker från 7% till 3%, månad över månad
Vägledning till användare
Bortsett från att tillhandahålla vägledning till system-och IT-administratörer, Microsofts lösenord vägledningen ger vägledning för såväl användare.
- Använd aldrig en (Microsoft) lösenord på en annan webbplats.
- Se till din säkerhet information (alternativ e-postadress, telefonnummer) är uppdaterad.
- Verifiera din identitet när behovet uppstår med det Microsoft-konto ansökan för Android.
- Du kan aktivera två-faktor autentisering när det är möjligt.
- Använd inte vanliga lösenord, ord eller fraser, eller personlig information när du väljer lösenord.
- Håll operativsystem, webbläsare och program uppdaterade.
- Var försiktig i misstänkta e-postmeddelanden och webbplatser.
- Installera ett antivirusprogram.
- Att använda sig av Microsoft Lösenord och Windows Hej.
- Använda tillförlitliga identitet leverantörer.
Avslutande Ord
Microsofts riktlinjer skrivs för den genomsnittlige användaren bas. Det är något förvånande att företaget underlåter att nämna lösenord chefer i papper som de tar itu med flera av de negativa som nämns i IT-administratören riktlinjer.
Nu är Du: Vad är din syn på Microsofts lösenord rekommendationer?