Ikke la passord utløpe i Azure eller Microsoft 365

Dette anbefaler Microsoft faktisk for rene skymiljøer. Forskning viser at det kan gjøre mer skade enn godt å tvinge personer til å endre passordet. Dette fører til at brukere velger forutsigbare passord som blir lettere å huske og enklere å gjette for hackere. Men om du skal følge dette rådet, stilles det strenge krav til passordsikkerheten. Brukere må veiledes og retningslinjer for passord håndheves på organisasjonsnivå. Påloggingen bør kombineres med totrinnsgodkjenning, helst med risikobasert multifaktor-autentisering (MFA). Når Azure Active Directory (AD) oppdager mistenkelig aktivitet, vil det sikre at bruker er den legitime eier av kontoen.

Sikkerhetsvurdering for identiteter

Identity Secure Score i portalen for Azure Active Directory gir en sikkerhetsvurdering for identiteter og muligheten til å forbedre den. Om du skal opp i 100 prosent, fordrer det blant annet:

• Krev multifaktor-autentisering (MFA) for administrative roller
• Aktiver policy for å blokkere eldre autentisering
• Slå på retningslinjer for påloggingsrisiko
• Slå på retningslinjer for brukerrisiko
• Sørg for at alle brukere kan fullføre for sikker tilgang med MFA
• Aktiver selvbetjent tilbakestilling av passord

Ikke minst må du angi at passord aldri skal utløpe. Det begrunnes med research på passordpolicyer. Når det håndheves en periodisk tilbakestilling av passord, blir de mindre sikre. Brukere har en tendens til å velge et svakere passord og variere det litt for hver endring. Hvis en bruker oppretter et sterkt passord – langt, komplekst og uten hverdagslige ord – forbli det like sterke i fremtiden som i dag. Det er Microsofts offisielle holdning til sikkerhet at brukere ikke må endre passord med jevne mellomrom uten at det er en spesiell grunn til det.

Gode passordrutiner

Men Microsoft presiseres at deres råd om ikke å kreve endring av passord gjelder for organisasjoner som bare opererer i skyen. Innvirkningen på brukere og implementeringskostnader er beskjedne. Brukere plages i langt mindre grad. Og det må opprettholdes gode rutiner, som faller inn i noen få brede kategorier:

Motstå vanlige angrep involverer valg av hvor brukere oppgir passord, så som kjente og pålitelige enheter med god deteksjon av skadelig programvare og validerte nettsteder. Valg av sterkt passord.

Hindre vellykkede angrep dreier seg om å begrense eksponeringen til en spesifikk tjeneste eller å forhindre skaden helt ved identitetslekkasje. Et sikkerhetsbrudd i sosiale media skal ikke gjøre bankkontoen mer sårbar, heller ikke brukerkontoen i Azure eller Microsoft 365.

Forstå menneskets natur bunner i at nesten hver eneste regel du pålegger brukerne dine vil resultere i en svekkelse av passordkvaliteten. Krav til lengde, spesialtegn og endring resulterer i normalisering av passord, noe som gjør det lettere for angripere å gjette eller knekke dem.

Anbefalinger for administratorer

Hovedmålet med et sikrere passordsystem er passordmangfold. Du vil at passordpolicyen din skal inneholde mange forskjellige passord som er vanskelige å gjette. Her er noen anbefalinger for å holde organisasjonen din så sikker som mulig.

• Oppretthold et krav til minimumslengde på 8 tegn.
• Ikke krev karaktersammensetning, som for eksempel *&(^%$.
• Ikke krev obligatorisk periodisk tilbakestilling av passord for brukerkontoer
• Forby vanlige passord for å holde de mest sårbare passordene ute av systemet ditt
• Lær brukerne dine om å ikke gjenbruke passordene for ikke-arbeidsrelaterte formål
• Håndhev registrering for MFA.
  

Anbefalinger for brukere

• Ikke bruk et passord som er det samme som eller likt det du bruker på andre nettsteder.
• Ikke bruk et enkelt ord, for eksempel passord, eller en ofte brukt setning som Iloveyou.
• Gjør passord vanskelig å gjette, selv av de som vet mye om deg, for eksempel navn og bursdager til venner og familie, favorittbandene dine og uttrykk du liker å benytte.
  

Endre innstillingene

Du endrer utløpspolicy for passord under Oppsett i Microsoft 365-Administrasjonssenter. Skal du anvende policyen på bare en enkelt bruker, må du benytte PowerShell:

Bakgrunnen for anbefalingen

Alle vi som i en årrekke har jobbet med tradisjonell infrastruktur, vil kjenne igjen anbefalingene for lokalt Active Directory: Passord kan ikke gjentas før de er forandret 24 ganger. Det må endres senest innen 42 dager, og de kan ikke være yngre enn én dag. Lengden på passordet må være minst sju tegn og bestå av tre tegngrupper. Heldigvis er reversibel kryptering deaktivert. Men utover det finnes det ingen empiriske fakta som underbygger at dette fører til sikre passord. Mest av alt bare føler vi at vi må sette opp en sånn policy fordi vi har gjort det så lenge, og fordi Windows AD ikke kommer med sterk identitetsbeskyttelse.

La oss ta et passord som oppfyller alle kriterier og gjør det lett for brukere å huske det: Omega_12. Neste blir Omega_13 osv. For det første vil en angriper som har klart å få tak i passordet, ikke vente med å benytte seg av. For den andre, om det skjer, er det ikke vanskelig å resonnere seg til hvordan neste passord blir. I Windows AD må vi ty til tredjepartsløsninger for å beskytte pålogginger med MFA. Azure AD kommer med en solid pakke som sikrer identiteter. Det omfatter funksjoner som passordbeskyttelse, betinget tilgang, selvbetjent tilbakestilling av passord, MFA med og uten risikovurdering, pluss passordløst.

Integrert passordbeskyttelse

Lenin var allerede inne på: «Tillit er bra, kontroll er bedre.» Med Azure AD Password Protection blir standard globale forbudte passordlister automatisk brukt på alle brukere i sky-organisasjonen din. For å støtte din egen virksomhet og sikkerhetsbehov, kan du definere oppføringer i en tilpasset forbudt passordliste. Når brukere endrer eller tilbakestiller passordene sine, sjekkes disse forbudte passordlistene for å fremtvinge bruken av sterke passord.

MFA, passordløst og passord

Hovedtyngden av identitetsangrep lykkes på grunn av pålogginger som foretas med for svake passord og uten MFA. Beskyttelsen av passord er bare et moment. Du må sette opp MFA og enda bedre i forlengelse av det passordløse autentiseringsmetoder, som omfatter:

• Windows Hello for Business sørger for biometrisk og PIN-legitimasjon som er direkte knyttet til brukerens PC, noe som hindrer tilgang fra andre enn eieren.
• FIDO2-sikkerhetsnøkler lagres vanligvis på en USB-pinne og er en standardbasert passordløs autentiseringsmetode som ikke kan utsettes for phishing.
• Microsoft Authenticator App gjør enhver iOS- eller Android-mobil til en sterk, passordløs legitimasjon. Brukere kan logge på hvilken som helst plattform eller nettleser ved å få et varsel til telefonen, matche et nummer som vises på skjermen med nummeret på telefonen, og deretter bruke biometrisk (berøring eller ansikt) eller PIN-kode for å bekrefte.
• FIDO2 smartkort (forhåndsvisning) er en ny metode for å bruke FIDO2-nøkler for passordløs pålogging via et smartkort.
• Temporary Access Pass (forhåndsvisning) gir et tidsbegrenset passord lar deg sette opp sikkerhetsnøkler og Microsoft Authenticator uten å måtte bruke, langt mindre vite, passordet ditt!
  

Azure AD Identity Protection

Så langt har vi drøftet sikkerhetsmekanismer som i alt vesentlig kan settes opp med alle abonnementer på Azure AD: Gratis, Microsoft 365 Apps, Plan 1 og Plan 2. Vår anbefalte løsning for små og mellomstore bedrifter er Microsoft 365 Business Premium. Her inngår Plan 1, som gir deg betinget tilgang, som er den beste måten å rulle ut MFA på. Men den forholder seg bare til statiske forhold. For å få en dynamisk undersøkelse av hver pålogging, trenger du Plan 2, som krever en tilleggslisens. Den gir deg Azure AD Identity Protection, som vurderer bruker- og påloggingsrisiko. Og den kan også benyttes i et utrullingsscenario.

Avsluttende ord

Identiteten er ditt nye kontrollnivå eller din nye brannmur, om du vil. Det er det eneste konstante med brukere som jobber hvor som helst, når som helst, på hva som helst. Nettverksperimeteren gir ikke samme beskyttelse som før i tiden. Det gjør at brukeridentiteter og pålogginger må sikres på alle bauger og kanter. Passord er bare en del av det. Og de bør være sterke. Den beste måten å få til det på, er å fortelle dine brukere at de bør tenke seg godt om og velge ett som er vanskelig å knekke. Samtidig kan du komme med den gode nyheten: Du behøver bare endre det om det er kompromittert.