So funktioniert der Azure AD Passwortschutz
Azure AD Passwortschutz ist in den P1/P2 Azure AD-Plänen enthalten. Der Name deutet darauf hin, dass Benutzer vor der Verwendung falscher Passwörter geschützt sind, aber das ist nicht der Fall. Wenn ein Unternehmen seine Active Directory-Umgebung ernsthaft sichern möchte, egal ob vor Ort oder in der Cloud, reicht der in Azure AD integrierte “Schutz” nicht aus.
Azure AD Password Protection enthält zwei Listen zur Überprüfung von Benutzerpasswörtern. Beide sind aus unterschiedlichen Gründen unzureichend.
1. Die Liste der weltweit verbotenen Passwörter
Die “Globale Liste der verbotenen Kennwörter” ist keine Liste der durchgesickerten Kennwörter und entspricht nicht den Empfehlungen für eine Kennwortverweigerungsliste.
Im Gegensatz zum Breached Password Protection von Specops Password Policy enthält die Global Banned Password List keine Daten von Drittanbietern, wie z. B. Have I Been Pwned (HIBP) oder andere bekannte Listen mit verletzten Passwörtern. Microsoft verlässt sich stattdessen ausschließlich auf seine eigene Analyse der Passwörter, die in verschiedenen Azure AD-Umgebungen verwendet werden. Microsoft legt den Inhalt seiner Liste nicht offen.
Gesetzliche Empfehlungen wie die von NIST oder NCSC beinhalten die Verwendung einer Liste bekannter verletzter Passwörter. Specops Breached Password Protection erfüllt diese Empfehlung.
Microsoft macht keine Angaben zur Anzahl der Passwörter auf der Liste. Sie erwähnen, dass sie im Vergleich zu anderen Listen von Drittanbietern klein ist, aber dass sie mit Fuzzy Matching Millionen von Kennwortvariationen der Wörter auf ihrer kleineren Verbotsliste blockieren kann.
Specops Password Policy’s Breached Password Protection Complete ist eine größere Liste verbotener Passwörter, die derzeit über 4 Milliarden Passwörter umfasst.
Microsofts Passwort-Bewertungsmethode: “5 Wrongs Make a Right” (“5 Fehler ergibt einmal richtig”)
“Selbst wenn das Passwort eines Benutzers ein verbotenes Passwort enthält, kann das Passwort dennoch akzeptiert werden, wenn das Gesamtpasswort ansonsten stark genug ist.”
Microsoft blockiert nicht die Verwendung von Kennwörtern, die auf seiner globalen Liste verbotener Kennwörter oder einer konfigurierten benutzerdefinierten Liste verbotener Kennwörter stehen. Stattdessen ist die Verwendung eines verbotenen Wortes nur ein Teil von Microsofts Formel dafür, ob ein neues Kennwort akzeptiert wird oder nicht.
Um den Kennwortfilter von Microsoft zu passieren, muss das Kennwort eines Benutzers 5 Punkte erreichen. Die Verwendung eines verbotenen Wortes ist einen Punkt wert, aber das allein disqualifiziert ein Kennwort nicht.
Kennwortfilter-Prozess von Azure AD
Schritt 1: Normalisierung
Zunächst wird die Kennworteingabe in Kleinbuchstaben umgewandelt. Microsoft gibt an, dass gängige Leetspeak-Zeichensubstitutionen ebenfalls umgekehrt werden; einige gängige Substitutionen wie €→e und 8→b werden jedoch ignoriert.
Bei aktivierter Zeichensubstitution blockiert Specops Password Policy gängige Leetspeak-Zeichen, darunter die folgenden, die Microsoft ignoriert.
4 = a; € = e; 6 = g; 7 = t; 8 = b; 9 = g; § = s
Schritt 2: Fuzzy-Übereinstimmungsprüfung
Der normalisierte Eintrag wird mit den Verbotslisten auf genaue Übereinstimmungen +/- 1 Zeichen Unterschied geprüft.
Schritt 3: Prüfung der Übereinstimmung von Teilstrings
Der normalisierte Eintrag wird auch mit dem Vornamen, dem Nachnamen und dem Mieternamen des Benutzers abgeglichen; Teilübereinstimmungen wie Jeff für Jeffrey werden jedoch ignoriert.
Specops Password Policy kann die vollständige oder teilweise Verwendung des Vor- oder Nachnamens eines Benutzers sperren.
Schritt 4: Endgültige Wertung
Wenn der normalisierte Eintrag die vorangegangenen Prüfungen übersteht, vergibt Microsoft eine Punktzahl. Einen Punkt gibt es für: jede exakte Übereinstimmung mit einem Wort aus der globalen Verbotsliste; jede exakte Übereinstimmung mit einem Wort aus der benutzerdefinierten Verbotsliste; jedes verbleibende eindeutige Zeichen.
Der Beitrag muss alle oben genannten Prüfungen bestehen und eine Punktzahl von 5 erreichen, um akzeptiert zu werden.
Beispiel für die Bewertung:
Micr0soft1! [microsoft] + [1] + [!] = 3 → Abgelehnt
Micr0soft124! [microsoft] + [1] + [2] + [4] + [!] = 5 → Akzeptiert
Das bedeutet, dass Microsoft Passwörter akzeptiert, die Wörter aus dem Wörterbuch und bekannte geleakte Passwörter enthalten.
2. Die benutzerdefinierte Liste verbotener Passwörter
Dieser Teil ist als Konkurrenzangebot von Microsoft zu den benutzerdefinierten Wörterbuchlisten von Specops Password Policy anzusehen.
Die benutzerdefinierte Liste der verbotenen Passwörter hat ein Limit von 1000 Wörtern, und jeder Eintrag muss mindestens 4 Zeichen lang sein.
Bei vielen Unternehmen sind Kombinationen aus drei Buchstaben üblich. Diese 4-Zeichen-Beschränkung bedeutet, dass Sie nicht blockieren können:
- Kurze Firmennamen oder Akronyme (wie IBM, DSW, CBS, FOX, CNN, UPS, CVS, ATT, 3M)
- Kürzere Aktiensymbole (wie GE, BBD, GM, BMY)
- Flughafencodes (wie JFK, LHR, LAX, CDG, DXB, ARN, YYZ, FRA)
- Interne Abkürzungen (wie Produktkurznamen: SPP, SPR, BL)
Die Wörterbuchlisten der Specops Password Policy haben keine Begrenzung und erlauben Einträge beliebiger Länge.
Microsoft blockiert nicht immer die Verwendung von Wörtern aus der benutzerdefinierten Verbotsliste für Kennwörter. Microsofts “5 Wrongs Make a Right”-Ansatz bei der Kennwortbewertung bedeutet, dass ein Wort aus Ihrer benutzerdefinierten Liste als Teil eines längeren Kennworts zulässig sein kann.
Schwache Passwörter, die von Azure AD akzeptiert werden
Specops124!
[specops] + [1] + [2] + [4] + [!] = 5 → Akzeptiert
Password998!
[Password] + [9] + [9] + [8] + [!] = 5 → Akzeptiert
PasswortPasswordPasswortPasswort9
[Passwort] + [Passwort] + [Passwort] + [Passwort] + [9] = 5 → Akzeptiert
Specops Password Policy kann die Verwendung eines beliebigen Wortes aus den benutzerdefinierten Wörterbuchlisten in einem längeren Passwort blockieren.
Verletzte und andere kompromittierte Passwörter
Die berüchtigten Passwortverstöße, Collections Leaks #1-5, enthalten über 4 Milliarden kompromittierte Passwörter. Microsoft ignoriert sie zusammen mit anderen Daten von Drittanbietern und echten Angriffen in seiner Global Banned Password List und lässt die Benutzer ungeschützt.
Nachfolgend finden Sie einige Beispiele für die häufigsten komplexen Kennwörter, die in Collection #2 gefunden wurden, sowie solche, die unser eigenes Bedrohungsforschungsteam entdeckt hat und die derzeit für Angriffe auf Windows-Netzwerke verwendet werden. Beide Sätze passieren den Filter von Azure AD.
Durchgesickerte Passwörter werden von Azure AD akzeptiert
Yuantuo2012
FQRG7CS493
Sojdlg123aljg
Groupd2013
D1lakiss
Indya123
In echten Angriffen beobachtete Passwörter, die von AzureAD akzeptiert werden
almalinux8svm
dbname=template0
shabixuege!@#
P@ssw0rd5tgb
adminbigdata
Die Specops Password Policy Passwort-Verweigerungsliste enthält die oben genannten, bekannt gewordenen Passwörter und mehr als 4 Milliarden weitere kompromittierte Passwörter, darunter auch solche, die heute in echten Angriffen verwendet werden oder auf Listen mit bekannt gewordenen verletzten Passwörtern stehen.
Mehr als nur Sicherheits-probleme, es mangelt an Benutzer-freundlichkeit
Die inhärente Komplexität des Passwortschutzes von Azure AD wird bewertet
Die Kennwortbewertung im Azure AD-Kennwortschutz ist kompliziert, und in den IT-Administrationsprotokollen wird Ihnen mitgeteilt, dass ein Kennwort abgelehnt wurde, weil es in der globalen oder benutzerdefinierten Verbotsliste gefunden wurde, aber nicht, welches.
Dieser Mangel an Transparenz bei den erforderlichen Regeln bedeutet, dass der IT-Servicedesk Schwierigkeiten hat, Probleme zu erkennen, die Benutzer bei der Einrichtung von Passwörtern haben.
Mit Specops Password Policy wird in den IT-Administrationsprotokollen angegeben, in welcher Passwortliste ein abgelehnter Passworteintrag gefunden wurde.
Azure AD Password Protection hat keine Kontrolle über die spezifische Fehlermeldung, die vom Client-Rechner angezeigt wird, wenn ein schwaches Passwort abgelehnt wird. Azure AD erlaubt es Administratoren nicht, die Standard-Windows-Fehlermeldungen, die Benutzer bei der Ablehnung eines Passworts sehen, anzupassen.
Dies ist die einzige Meldung, die Benutzer unabhängig vom Grund für die Ablehnung ihres Kennworts sehen, wenn sie ihr Kennwort auf ihren Rechnern ändern oder zurücksetzen.
Mit Specops Password Policy erhalten die Benutzer bei der Passwortänderung ein dynamisches Feedback, während sie ihr Passwort eingeben. Specops Password Policy ermöglicht es Administratoren auch, die Meldung, die der Benutzer erhält, individuell anzupassen, einschließlich der Anzeige des gefundenen Wörterbuchworts.
Fehlende benutzer-definierte Nachrichten zur Ablehnung von Passwörtern
Was wir empfehlen
Sie müssen Azure AD oder O365 nicht aufgeben, um strengere Kennwortrichtlinien zu implementieren oder um Benutzer an der Verwendung geleakter Kennwörter zu hindern.
Sie können stattdessen Specops Password Policy und Breached Password Protection einrichten, um diese Richtlinien in Ihrer lokalen Umgebung durchzusetzen, und eine Verbundlösung oder Azure AD-Passwort-Rückschreibung verwenden, um diese Richtlinien für Ihre Benutzer in allen Umgebungen durchzusetzen.
Über Specops Password Policy und Breached Password Protection
Specops Password Policy hilft Ihnen, die Passwortsicherheit in Ihrer Microsoft Active Directory- oder hybriden Azure AD-Umgebung vor Ort zu erhöhen. Das Tool erweitert die Funktionalität von Gruppenrichtlinien und vereinfacht die Verwaltung von fein abgestuften Passwortrichtlinien.
Specops Password Policy kann auf jede GPO-Ebene, jede Gruppe, jeden Benutzer oder Computer mit Passwortkomplexität, Wörterbüchern und Passphraseneinstellungen abzielen. Mit Specops Password Policy und Breached Password Protection können Unternehmen über 4 Milliarden kompromittierte Passwörter in Active Directory blockieren. Zu diesen kompromittierten Passwörtern gehören auch solche, die heute in realen Angriffen verwendet werden oder die auf bekannten Listen mit kompromittierten Passwörtern stehen, so dass es einfach ist, Branchenvorschriften wie die von NIST oder NCSC einzuhalten. Die Datenerfassungssysteme unseres Forschungsteams zur Überwachung von Angriffen aktualisieren den Dienst täglich und stellen sicher, dass Netzwerke vor realen Passwortangriffen geschützt sind, die gerade jetzt stattfinden. Der Dienst Breached Password Protection blockiert diese verbotenen Kennwörter in Active Directory mit einer anpassbaren Endbenutzermeldung, die dazu beiträgt, dass weniger Anrufe beim Service Desk eingehen. Breached Password Protection ist als sichere Liste in der Cloud verfügbar oder wird lokal in Ihrer Umgebung gespeichert.
Möchten Sie sehen, wie Specops Password Policy + Breached Password Protection in Ihrer Umgebung funktioniert? Klicken Sie hier, um eine Demo oder eine Testversion einzurichten.