微軟於上周宣布,將全面封鎖Azure AD及Microsoft Account用戶使用簡易密碼,一旦察覺用戶設定了過於簡單的密碼,將立即要求重設。

微軟身份部門專案管理總監Alex Simons表示,預防帳號被入侵最重要的事情就是選擇一個獨特、難以被猜測的密碼,當市場上出現大規模的資料外洩事件時,駭客與Azure AD身份保護團隊都會採取同樣的行動—分析這些外洩資料中最常用的密碼。

駭客用這些外洩憑證來建立可破解密碼的彩虹表(rainbow table),或是以最受歡迎的密碼來執行暴力破解,微軟則是以同樣的資料來避免使用者採用太容易遭到破解的密碼。

目前使用者在設定網路服務的密碼時,通常會面臨某些要求,包括密碼長度、密碼複雜度,以及密碼的時效性,然而,Simons認為在上述政策下,人們的行為反而更容易預測。因此,微軟祭出了兩道防線,分別是動態封鎖通用密碼(Dynamically banning common passwords)以及智慧型密碼鎖定(Smart password lockout)。

其中,動態封鎖通用密碼在使用者設定密碼時即展開運作,一旦偵測到使用者設定了太過常用的密碼,即會要求重設。目前該功能已部署於Microsoft Account,在Azure AD也已進入預覽階段,預計未來幾個月即會推動到上千萬的所有Azure AD租戶上。微軟將會定期更新簡易密碼列表,以杜絕用戶採用常見密碼。

至於智慧型密碼鎖定則是在多次輸入錯誤密碼之後,系統即會鎖住該帳號。

Azure AD的全名為Azure Active Directory是微軟的多租用戶雲端型目錄與身份識別管理服務,提供微軟SaaS服務的單一登入功能,Microsoft Account則是一般用戶的帳戶,涵蓋Outlook、Skype、Xbox及OneDrive等。

根據密碼管理程式供應商SplashData所公布的2015年常用密碼列表,前十大最常用密碼依序是123456、password、12345678、qwerty、12345、123456789、football、1234、1234567及baseball。微軟可望封鎖相關密碼,以確保用戶帳戶安全,可以想見的是,未來要設定自己不會忘記的密碼也愈來愈難了。


Advertisement

更多 iThome相關內容