Microsoft heeft een publieke preview vrijgegeven van Azure AD Password Protection. De tool helpt IT-beheerders om Azure Active Directory- en Windows Server Active Directory-accounts te beschermen tegen gebruikers met slechte wachtwoordgewoonten.
Azure AD Password Protection bevat een lijst van meer dan 500 veelgebruikte wachtwoorden en meer dan een miljoen variaties daarop. Een gebruiker die bijvoorbeeld het wachtwoord ‘password’ of de variatie ‘P@$$w0rd1!’ probeert te gebruiken, wordt automatisch tegengehouden.
“Azure AD Password Protection helpt bij het elimineren van gemakkelijk te raden wachtwoorden, wat het risico op een inbraak door een password spray attack aanzienlijk kan verminderen”, zegt Alex Simons, Director of Program Management voor de Microsoft Identity Division in een blogpost.
Een password spray attack is ontworpen als antwoord op de beveiligingsmaatregel waarbij een account wordt vergrendeld na x aantal verkeerde inlogpogingen. In plaats van willekeurig wachtwoorden te proberen om op één account in te breken, wordt een veelgebruikt wachtwoord geprobeerd bij een groot aantal accounts, in de wetenschap dat een klein percentage met dit wachtwoord zal zijn beveiligd.
Verkeerde wachtwoordregels
Volgens Microsoft is het automatisch verbieden van veelgebruikte wachtwoorden en variaties een efficiëntere benadering dan het vastleggen van specifieke vereisten voor complexe wachtwoorden.
“De meeste gebruikers denken dat als ze een wachtwoord hebben gekozen dat aan de complexiteitsvereisten voldoet, zoals P@$$w0rd1!, dat ze dan veilig zijn. Dat is verkeerd. Aanvallers weten hoe gebruikers wachtwoorden maken”, legt Simons uit.
Hij voegt daar nog aan toe dat ook de verplichting om een wachtwoord op gezette tijden te veranderen vaak een averechts effect heeft. “Als gebruikers elk kwartaal hun wachtwoord moeten wijzigen, kiezen ze vaak wachtwoorden op basis van sportteams, maanden of seizoenen en combineren ze dat met het lopende jaar.”
Hoewel de regels om wachtwoorden complex te maken en regelmatig te veranderen al jaren in ons collectief geheugen gegrift staan, zijn ze niet per se effectief. Bill Burr, de man die de regels 14 jaar geleden bedacht tijdens zijn tijd aan het National Institute of Standards and Technology (NIST), zei vorig jaar dat hij spijt had van zijn nodeloos ingewikkelde wachtwoordrichtlijnen.
Vandaag raadt het NIST aan om een systeem met verboden wachtwoorden te gebruiken, net zoals Microsoft nu implementeert. “De publieke preview die vandaag beschikbaar is, geeft je zowel de mogelijkheid om dit in de cloud als on-premises te doen – waar je gebruikers hun wachtwoord ook wijzigen”, besluit Simons.
Microsoft laat nog weten dat Azure AD Premium Password Protection alleen beschikbaar is als onderdeel van Azure AD Premium 1.