Microsoft Password Raccomandazioni

Robyn Hicock di Microsoft Identity Protection Team ha pubblicato una Password di Orientamento della carta di recente, in cui le raccomandazioni sono fatte per gli amministratori e gli utenti in quanto riguarda la password di sicurezza e di gestione.

Le password sono ampiamente usati oggi Internet, reti locali e anche i singoli dispositivi, e mentre le aziende hanno iniziato a sviluppare alternative, nessuno andrà a sostituire la password per l’autenticazione in un prossimo futuro.

Microsoft Password Raccomandazioni per gli Amministratori IT

La società di consulenza per gli amministratori di sistema è a un livello molto diversa dalla pratica comune in molte reti aziendali.

1. Impostare una lunghezza minima di 8 caratteri per la password (ma non necessariamente più).
2. Rimuovere carattere requisiti di composizione.
3. Non necessitano di periodiche di reimpostare la password.
4. Divieto comunemente utilizzate le password.
5. Educare gli utenti in quanto riguarda la password di ri-uso.
6. Applicare autenticazione multi-fattore di registrazione.
7. Attivare in base al rischio, l’autenticazione multi-factor sfide.

I primi tre punti di indirizzo cosiddetta anti-pattern, i restanti quattro di successo o benefico modelli. Questi sono ampiamente utilizzati durante la ricerca suggerisce che l’esecuzione abbia conseguenze negative, che potrebbero superare i benefici.

Anti-Patterns

Richiedere le password lunghe

Microsoft suggerisce di richiedere una password di almeno otto caratteri, ma non per far valere di più le password (16 caratteri, per esempio) in quanto gli utenti possono scegliere la ripetizione di modelli per soddisfare il requisito di lunghezza.

Un altro punto degno di nota secondo la Microsoft è che la maggior parte delle password che gli utenti sono tenuti a prendere in pochi caratteri di lunghezza minima che a sua volta aiuta aggressori nei loro attacchi.

Password più lunghe, almeno quelli che non uso ripetuto password, può portare a insicura pratiche come scrivere la password, la conservazione dei documenti, o di ri-uso.

Microsoft riconosce che la password più lunghe sono più difficili da individuare, ma che veramente forti password ! inevitabilmente poveri comportamenti”.

Più set di caratteri

Molti siti e servizi che richiedono password includono alcuni tipi di carattere, per esempio, almeno una maiuscole e minuscole lettera e un numero.

Questi requisiti di portare a bad utente pratiche come pure secondo Microsoft research. Molti utenti di avviare la password con una lettera maiuscola e terminare con un numero di quelli che sono due dei requisiti.

Alcuni sostituti, $ per S ! per 1 o @ per una, sono anche abbastanza comuni, e gli attaccanti configurare gli attacchi di approfittare di questa conoscenza.

Di scadenza della Password

Il terzo e ultimo anti-pattern indirizzi periodica reset delle password di costringere gli utenti a scegliere una nuova password nel processo.

Microsoft osserva che la ricerca ha dimostrato che gli utenti tendono a scegliere password prevedibili quando di scadenza delle password, di solito basato su password precedente.

Ci è prova per suggerire che gli utenti che sono tenuti a modificare la propria password, selezionare spesso più debole password per iniziare, e poi cambiare in modo prevedibile che gli aggressori si può intuire facilmente.

Successo Modelli

Il divieto di password comuni

Questo è il limite più importante quando si tratta di creazione di password in quanto riduce l’impatto di attacchi di forza bruta.

Microsoft Account di sistema utilizza le migliori pratiche già. Quando si tenta di scegliere una password comuni durante la creazione dell’account, o di reimpostazione password, verrà visualizzato il messaggio “scegliere una password che è difficile per le persone a indovinare”.

Password Ri-utilizzare l’istruzione

I dipendenti della società devono essere consapevoli che il riutilizzo delle password può avere gravi implicazioni per la sicurezza. Se un dipendente utilizza la stessa password che lui/lei usa i computer altrove, gli aggressori potrebbero essere in grado di utilizzare gli attacchi contro altri conti del dipendente per attaccare la rete aziendale.

L’autenticazione Multi-Factor

Gli ultimi due punti vanno mano nella mano. Microsoft suggerisce che le aziende a mantenere la sicurezza delle informazioni come ad esempio un indirizzo email alternativo o numero di telefono. Questo può essere utilizzato per informare gli utenti sui problemi, ma anche per autenticare gli utenti in caso di necessità.

Microsoft ha formulato le seguenti statistiche modifiche per conto dei clienti con le informazioni di sicurezza sul loro conto:

• Reimpostazione della Password successo salti dal 67% al 93%
• Compromesso il recupero migliora dal 57% al 81%
• Utente tasso di logoramento effettivamente scende dal 7% al 3%, mese su mese

L’orientamento degli utenti

Oltre a fornire una guida per il sistema e gli amministratori di Microsoft password guidance paper fornisce una guida per gli utenti.

1. Non utilizzare mai un (Microsoft) password su un altro sito.
2. Assicurarsi che le informazioni di sicurezza (supplente indirizzo e-mail, numero di telefono) sono fino a data.
3. Verificare la vostra identità, all’occorrenza, con l’account Microsoft per Android.
4. Considerazione la possibilità di abilitare l’autenticazione a due fattori, quando possibile.
5. Non utilizzare password comuni, parole o frasi, o informazioni personali, quando la selezione di password.
6. Mantenere il sistema operativo, il browser e il software aggiornato.
7. Attenzione, di sospetti, e-mail e siti web.
8. Installare un programma antivirus.
9. Fare uso di Password di Microsoft e di Windows Ciao.
10. Utilizzare trusted identity provider.

Parole Di Chiusura

Le linee guida Microsoft sono scritti per l’utente medio di base. È un po ‘ sorprendente che la società non riesce a ricordare la password manager della carta in quanto riguardano diversi aspetti negativi citati in amministratore di linee guida.

Ora: Qual è il suo punto di Microsoft password raccomandazioni?