I januar publiserte vi et innlegg om sikkerhet rundt din konto i Office 365, etter at listen over de vanligste passordene i 2018 ble offentliggjort. Disse blir med jevne mellomrom oppdatert. Nylig har det statlige senteret for datasikkerhet i Storbritannia, National Cyber Security Centre (NCSC), kommet med en ny oversikt. Samtidig poengterer de at det er viktig å få på plass passordpolicyer som hindrer ansatte i å benytte de mest alminnelige passordene. Med Azure AD Password Protection kan du sperre for bruken av svake og sårbare passord. Microsoft opererer selv med en oppdatert global liste over bannlyste passord, og du kan definere din egen. Beskyttelsesmekanismen fungerer både i skyen og i hybride miljøer.
Sørg for bedre passord
Fortsatt topper dette passordet listen: 123456. Det er gått igjen hele 23 millioner ganger ved data-innbrudd. Én av strategiene angripere benytter, er å ta utgangspunkt i disse listene når de førsøker å bryte seg inn i en organisasjon eller bevege seg innenfor et nettverk til muligens mindre godt forsvarte systemer. Det er viktig å øke bevisstheten om hvordan skurkene opererer. Hold deg langt unna passord i disse oversiktene og andre som kan være lett å gjette. Sånn gjør vi det vanskeligere for uvedkommende å trenge inn i våre datasystemer. Dermed reduserer vi også risikoen for ansatte og kunder. Vi trenger mekanismer som sørger for mye sikrere påloggingsinformasjon.
Azure AD Password Protection
Med Azure AD Password Protection kan du hjelpe brukere med å unngå svake og sårbare passord. Du kan sette et regelsett for å blokkere en brukerkonto etter et gitt antall mislykte påloggingsforsøk og for lengden på utestengelsen. Passordbeskyttelsen kan benyttes både i skyen og i ditt lokale nettverk.
Azure AD Password Protection kan enkelt konfigureres via Azure AD-portalen. Logg på med en global administrator-konto. Deretter navigerer du til Azure Active Directory og til autentiseringsmetoder. Her får du opp passordbeskyttelse som vist nedenfor. Her er det er valgt å beskytte Windows AD, men konfigurasjonen med agenter faller utenfor denne fremstillingen.
Konfigurer Azure AD Password Protection
- Tilpass terskelen for antall ganger man kan taste feil passord (Lockout treshold) og varigheten på hvor lenge denne sperringen skal være aktiv (Lockout duration).
- I tekstboksen skriver du inn hvilke passord som skal være forbudte i din bedrift. Velg deretter «enforce custom list». Ordene vil dermed legges til i listen over forbudte passord og hindre brukere i å benytte passord som er lett å gjette.
- Det anbefales at merke- og produktnavn som er kjent for bedriften, er med i denne listen.
- Start med overvåkingsmodus (audit mode), som kjører passordbeskyttelsen i en «hva-om»-modus. Når du deretter er klar for å aktivere passordbeskyttelsen velger du «Enforced» for å håndheve reglene og begynne å beskytte brukerne.
- Utvid beskyttelsen ved å aktivere passordbeskyttelse for Windows Server Active Directory.
Når en bruker endrer eller tilbakestiller passordet, blir det nye passordet sjekket for styrke og kompleksitet ved å validere ordet mot både den globale og den egendefinerte listen over forbudte passord.
Topp 10 passord ifølge NCSC
1. 123456
2. 123456789
3. qwerty
4. password
5. 111111
6. 12345678
7. abc123
8. 1234567
9. password1
10. 12345
Hele listen finner du her.
Avslutning
I listen over de mest brukte passordene ser vi gjengangere fra året før. Men det er også verdt å bemerke seg at det midlertidig vil være andre passord som er mer spesifikke eller tidsberegnet, som for eksempel ansatte i en bedrift som bruker firmanavnet i passordet eller «våren2018». Disse passordene vil sjelden dukke opp i lister over forbudte passord, men angripere vil fortsatt bruke dem. Listen fra NCSC er ikke den eneste, men den er et godt utgangspunkt å følge for å holde seg oppdatert. Det er viktig at vi starter diskusjoner internt om passord. På denne måten kan vi lettere gjøre hverandre oppmerksomme på om passordene våre er altfor vanlige eller svake. Sånn kan vi også få tillitt til at valgene av passordet er fornuftige.
Kilder:
https://www.ncsc.gov.uk/blog-post/passwords-passwords-everywhere
