使用 Microsoft Entra 密码保护消除错误的密码

一般情况下，安全指南建议不要在多个位置使用相同的密码，使其变得复杂，并避免使用密码 123 等简单密码。 你可以为用户提供 有关如何选择密码的指导，但通常仍使用弱密码或不安全密码。 Microsoft Entra 密码保护会检测并阻止已知的弱密码及其变体，还可以阻止特定于组织的其他弱术语。

使用 Microsoft Entra 密码保护时，默认的全局禁止密码列表将自动应用于 Microsoft Entra 租户中的所有用户。 若要支持自己的业务和安全需求，可以在自定义禁止密码列表中定义条目。 当用户更改或重置其密码时，会检查这些受禁密码列表以强制使用强密码。

应使用其他功能，例如 Microsoft Entra 多重身份验证，而不仅仅是依赖于由 Microsoft Entra 密码保护强制实施的强密码。 有关对登录事件使用多层安全性的详细信息，请参阅 Pa$$word并不重要。

全局禁止密码列表

Microsoft Entra ID 保护团队不断分析 Microsoft Entra 安全遥测数据，寻找常用的弱密码或泄露密码。 具体而言，分析查找通常用作弱密码基础的基词。 如果发现弱术语，则会将其添加到 全局禁止密码列表中。 全局禁止密码列表的内容不基于任何外部数据源，而是基于 Microsoft Entra 安全遥测和分析的结果。

当Microsoft Entra 租户中的任何用户更改或重置密码时，全局禁止密码列表的当前版本用于验证密码强度。 此验证检查会导致所有Microsoft Entra 客户的密码更强。

全局禁止密码列表会自动应用于Microsoft Entra 租户中的所有用户。 无法启用或配置，不能禁用。 通过 Microsoft Entra ID 更改或重置自己的密码时，此全局禁止密码列表将应用于用户。

自定义禁止密码列表

某些组织希望提高安全性，并在全局禁止密码列表中添加自己的自定义项。 若要添加自己的条目，可以使用 自定义禁止密码列表。 添加到自定义禁止密码列表中的术语应侧重于组织特定的术语，例如以下示例：

• 品牌名称
• 产品名称
• 位置，如公司总部
• 公司特定的内部条款
• 具有特定公司含义的缩写

将术语添加到自定义禁止密码列表中时，它们将与全局禁止密码列表中的术语组合在一起。 然后，根据这些受禁密码列表的组合集验证密码更改或重置事件。

让我们考虑一个名为 Contoso 的客户。 该公司总部设在伦敦，并制作了一个名为 小组件的产品。 对于此示例客户，尝试阻止这些术语的特定变体会浪费且不太安全：

• “Contoso！1”
• “Contoso@London”
• “ContosoWidget”
• "!Contoso”
• “LondonHQ”

相反，仅阻止关键基术语（如以下示例）会更加高效且更安全：

• “Contoso”
• “伦敦”
• “小组件”

然后，密码验证算法会自动阻止弱变体和组合。

若要开始使用自定义禁止密码列表，请完成以下教程：

密码喷射攻击和第三方泄露的密码列表

Microsoft Entra 密码保护可帮助你抵御密码喷射攻击。 大多数密码喷射攻击不会多次尝试攻击任何给定的个人帐户。 此行为会通过帐户锁定或其他方式增加检测的可能性。

相反，大多数密码喷洒攻击只针对企业中的每个帐户提交一些已知的最弱密码。 利用此方法，攻击者可以快速搜索容易泄露的帐户，并避免潜在的检测阈值。

Microsoft Entra Password Protection 有效阻止所有已知弱密码，这些密码很可能用于密码喷射攻击。 此保护基于来自 Microsoft Entra ID 的实际安全遥测数据来生成全局禁止密码列表。

有一些第三方网站枚举在以前公开的安全漏洞中泄露了数百万个密码。 第三方密码验证产品通常基于与数百万个密码的暴力比较。 但是，鉴于密码喷洒攻击者使用的典型策略，这些技术并不是提高整体密码强度的最佳方法。

尽管与某些第三方批量列表相比，全球禁止列表很小，但它源自实际密码喷射攻击的实际安全遥测数据。 此方法可提高整体安全性和有效性，密码验证算法还使用智能模糊匹配技术。 因此，Microsoft Entra 密码保护可以有效地检测和阻止企业中使用的数百万个最常见的弱密码。

本地混合方案

许多组织都有一个混合标识模型，其中包括本地 Active Directory 域服务（AD DS）环境。 若要将 Microsoft Entra Password Protection 的安全优势扩展到 AD DS 环境中，可以在本地服务器上安装组件。 这些代理要求本地 AD DS 环境中的密码更改事件符合与 Microsoft Entra ID 中相同的密码策略。

有关详细信息，请参阅 AD DS 强制Microsoft Entra Password Protection。

如何评估密码

当用户更改或重置其密码时，会根据全局和自定义禁止密码列表中的术语组合列表验证新密码的强度和复杂性。

即使用户的密码包含受禁密码，如果整体密码足够强，也可能会接受密码。 新配置的密码会执行以下步骤来评估其整体强度，以确定它是否应接受或拒绝。

步骤 1：规范化

新密码首先经历规范化过程。 此技术允许将一组受禁密码映射到一组可能较弱的密码。

规范化具有以下两个部分：

• 所有大写字母都更改为小写。

• 然后，执行常见的字符替换，如以下示例所示：

  原始字母	替换字母
  0	o
  1	l
  $	s
  @	上午

请看下面的示例：

• 禁止密码“空白”。
• 用户尝试将其密码更改为“Bl@nK”。
• 尽管“Bl@nk”不是禁止的，但规范化过程会将此密码转换为“空白”。
• 此密码将被拒绝。

步骤 2：检查密码是否被视为被禁止

然后检查密码以查找其他匹配行为，并生成分数。 此最终分数确定密码更改请求是接受还是拒绝。

模糊匹配行为

模糊匹配用于规范化密码，以确定它是否包含全局密码列表或自定义禁止密码列表中的密码。 匹配过程基于一（1）比较的编辑距离。

请看下面的示例：

• 禁止密码“abcdef”。

• 用户尝试将其密码更改为以下项之一：

  • “abcdeg” - 最后一个字符从“f”更改为“g”
  • “abcdefg” - 追加到末尾的“g”
  • “abcde” - 尾随“f”已从末尾删除

• 上述每个密码都与禁止的密码“abcdef”不匹配。

  但是，由于每个示例的编辑距离为“abcdef”的编辑距离为“abcdef”，因此它们都被视为与“abcdef”匹配。

• 这些密码将被拒绝。

子字符串匹配（针对特定术语）

规范化密码上使用子字符串匹配来检查用户的名字和姓氏以及租户名称。 验证本地混合方案的 AD DS 域控制器上的密码时，租户名称匹配不会完成。

请看下面的示例：

• 名为 Poll 的用户想要将其密码重置为“p0LL23fb”。
• 规范化后，此密码将变为“poll23fb”。
• 子字符串匹配发现密码包含用户的名字“Poll”。
• 尽管“poll23fb”不是特别在任一受禁密码列表中，但子字符串匹配在密码中找到“Poll”。
• 此密码将被拒绝。

评分计算

下一步是识别用户规范化新密码中的所有受禁密码实例。 根据以下条件分配点：

1. 在用户密码中找到的每个受禁密码都有一个点。
2. 每个不属于受禁密码的剩余字符都得到一个点。
3. 密码必须至少为五（5）点才能接受。

对于接下来的两个示例方案，Contoso 正在使用 Microsoft Entra Password Protection，并在其自定义禁止密码列表中具有“contoso”。 我们还假设“空白”位于全局列表中。

在以下示例方案中，用户将其密码更改为“C0ntos0Blank12”：

• 规范化后，此密码变为“contosoblank12”。

• 匹配过程发现此密码包含两个受禁密码：“contoso”和“blank”。

• 然后，此密码将得到以下分数：

  [contoso] + [空白] + [1] + [2] = 4 磅

• 由于此密码低于 5（5）点，因此被拒绝。

让我们看一个略有不同的示例，以说明密码中的复杂性如何生成需要接受的点数。 在以下示例方案中，用户将其密码更改为“ContoS0Bl@nkf9！”：

• 规范化后，此密码变为“contosoblankf9！”。

• 匹配过程发现此密码包含两个受禁密码：“contoso”和“blank”。

• 然后，此密码将得到以下分数：

  [contoso] + [空白] + [f] + [9] + [！] = 5 磅

• 由于此密码至少为 5 （5） 磅，因此已接受。

用户看到的内容

当用户尝试重置或更改要禁止的内容的密码时，将显示以下错误消息之一：

“遗憾的是，密码包含一个单词、短语或模式，使密码易于猜测。 请使用其他密码重试。

“我们以前见过密码太多次。 选择更难猜的东西。

“选择一个密码，让人们难以猜测。

许可要求

有关许可的详细信息，请参阅 Microsoft Entra 定价站点。

后续步骤

若要开始使用自定义禁止密码列表，请完成以下教程：

然后，还可以 启用本地Microsoft Entra Password Protection。