Strona: Hasła w systemach Microsoft / Biuro Ochrony Informacji Niejawnych i Spraw Obronnych

A  A+ A++

Centralna Usługa Uwierzytelniania CAS
Konta studenckie i pracownicze PRz

Pozostali użytkownicy

Wyszukaj
Zaloguj

Hasła w systemach Microsoft

Zmiana / ustawianie silnego hasła w systemach Microsoft czasami stwarza użytkownikom problemy. Pomimo odpowiedniej długości hasła i wymaganego rodzaju znaków hasło jest odrzucane jak za słabe. Reguły dotyczące silnych haseł opierają się na obserwacji najbardziej popularnych cyberataków obowiązujących w aktualnym okresie. Może więc przyda się kilka poniższych uwag:

Jak są oceniane hasła? (na przykładzie Microsoft Entera ID »)

Kolejne kroki w procesie zatwierdzania nowego hasła to:

  1. Normalizacja - zamiana liter wielkich na małe, znaków specjalnych na litery wizualnie podobne,
    np. "01$@" na "olsa".

  2. (!) Odrzucenie - po sprawdzaniu, czy hasło jest uznawane za zakazane - hasło po normalizacji, ewentualnie z 1 modyfikacją, np. "puste", "puste1", "pust". Globalna lista zabronionych haseł Microsoft jest dynamicznie zmieniana w miarę obserwacji ataków ze zgadywaniem haseł, takich jak "abcd1234", "1234qwer", "1qaz2wsx".

  3. (!) Odrzucenie - po wykryciu w znormalizowanym haśle nazwy użytkownika, imienia, nazwiska (4 znaki lub więcej), np. próba zmiany hasła użytkownika "Kowal" na "k0w@1J23@$" się nie powiedzie, gdyż po normalizacji napis "kowal" zostanie odnaleziony w "kowalj23as"

  4. Uzyskanie 5+ punktów po odszukaniu zakazanych haseł w znormalizowanym haśle (liczonych jako 1 pkt.), np. "puste0puste12" uzyskuje 5 punktów ([puste][0][puste][1][2]) i nie jest odrzucane (choć może  jednak nie spełniać innych wymagań).

Niestety w obecnym czasie bezpieczeństwo oparte tylko na skomplikowanym haśle jest zawodne » i powinno się stosować inne, wieloskładnikowe metody uwierzytelniania.

Zalecenia dotyczące zasad haseł dla haseł platformy Microsoft 365

https://learn.microsoft.com/pl-pl/microsoft-365/admin/misc/password-policy-recommendations?view=o365-worldwide

Zrozumienie ludzkiej natury ma kluczowe znaczenie, ponieważ badania pokazują, że prawie każda reguła narzucona użytkownikom powoduje osłabienie jakości haseł. Wymagania dotyczące długości, stosowania znaków specjalnych i zmian haseł powodują ujednolicenie haseł, co sprawia, że intruzom łatwiej jest je odgadnąć lub złamać.

Kilka zaleceń dla administratorów

  1. Nie powinno wymagać się okresowego obowiązkowego resetowania hasła.
    Wymagania dotyczące wygasania haseł wyrządzają więcej szkody niż pożytku, a cyberprzestępcy prawie zawsze używają poświadczeń natychmiast po ich naruszeniach.

  2. Nie wolno używać "typowych" haseł.

  3. Nie należy używać tych samych haseł do celów nie związanych z pracą.

Silne hasło to:

  • Co najmniej 12 znaków, ale lepiej, żeby było ich 14 lub więcej.
  • Kombinacja wielkich i małych liter, cyfr i symboli.
  • Nie jest to słowo, które można znaleźć w słowniku lub nazwa osoby, postaci, produktu lub organizacji.
  • Znacznie różni się od Twoich poprzednich haseł.
  • Łatwe do zapamiętania dla Ciebie, ale trudne do odgadnięcia dla innych.

Nasze serwisy używają informacji zapisanych w plikach cookies. Korzystając z serwisu wyrażasz zgodę na używanie plików cookies zgodnie z aktualnymi ustawieniami przeglądarki, które możesz zmienić w dowolnej chwili. Więcej informacji odnośnie plików cookies.