(Bilde: Shutterstock)

Passordsikkerhet

Microsoft forbyr mye brukte passord

Bruker angrepsdata til å oppgradere svartelisten.

Microsoft har ifølge The Register tatt i bruk en dynamisk oppdatert liste over passord som brukerne ikke kan velge i forbindelse med Microsoft Account Service og lukkede testutgaver av Azure AD (Active Directory). Listen skal tas offisielt i bruk av Azure AD i løpet av noen måneder.

I et blogginnlegg som selskapet kom med i går, opplyses det at det det ikke er lengden eller kompleksiteten til passord som er det viktigste. Heller ikke at passord byttes ut jevnlig. Tvert imot kan dette gjøre passord enklere å gjette, fordi vi mennesker kan være temmelig forutsigbare i våre valg.

Det som derimot kan være avgjørende, er å velge et passord som er unikt, som ikke benyttes andre steder.

Belastede passord

Passordlekkasjer, nå sist 117 millioner brukernavn og passord som angivelig skal stamme fra et angrep mot LinkedIn i 2012, bidrar til at både ondsinnede og andre får mye kjennskap til bruken av passord, noe som blir utnyttet i angrep, men også til å beskytte mot angrep.

Microsoft benytter slike oversikter, sammen med data fra daglige angrep på mer enn 10 millioner brukerkontoer i selskapets systemer, til å oppdatere den dynamiske listen med svartelistede passord, som er så vanlige eller belastede at de ikke får brukes.

Varsel til sluttbruker fra Azure AD om et passord som er for lett å gjette.
Tidligere har Microsoft også tatt i bruk en løsning som det kaller for Smart Password Lockout, som skal kunne gjenkjenne innbruddsforsøk mot brukerkontoer og låser mot nye innbruddsforsøk ved blant annet å ta utgangspunkt i IP-adressen som benyttes under mistenkte innbrudd.

Brukeren selv vil ikke merke noe til dette så lenge innbruddsforsøket skjer på brukerens datamaskin eller i samme nettverk som brukeren benytter.

Microsoft Identity Protection Team kom nylig med denne veilederen for passordsikkerhet i blant annet Active Directory-produktene. En god del av dokumentet er rettet mot vanlige brukere. Det aller mest sentrale råder er at man aldri bruker passordet til Microsoft-kontoen noe annet sted.

Til toppen