Por que a Lista Negra de Senhas é tão importante e como fazer isso no Active Directory?

As senhas ainda são o método de autenticação mais popular usado para conceder aos usuários acesso a recursos comerciais essenciais. De acordo com o Relatório do Estado de Autenticação de 2017 , mais da metade das empresas dos EUA usa apenas senhas para proteger sua propriedade intelectual e informações financeiras. Isso é problemático porque muitos especialistas não consideram mais as senhas uma forma segura de autenticação. Não é que as senhas sejam inerentemente ruins, mas muitas pessoas tendem a ser realmente ruins em usá-las.

Com o número de sites e aplicativos que os usuários visitam diariamente, eles geralmente preferem criar senhas comuns e fáceis de lembrar. Na verdade, os cibercriminosos estão confiando em você e seus funcionários para seguir esse mau hábito, para que eles possam entrar facilmente na rede da sua organização usando ataques sofisticados, como ataques de dicionário.

O que é um ataque de dicionário?

Em um ataque de dicionário, os cibercriminosos tentam obter senhas usando um arquivo de dicionário composto de uma lista enorme de palavras, incluindo palavras de dicionário comuns (por exemplo, senha), senhas com substituições de caracteres (por exemplo, p @ ssw0rd) e senhas perdidas de violações de dados . Com o aumento dos vazamentos de senha, os invasores agora têm um arsenal de senhas comprometidas para executar ataques de dicionário com eficiência.

A política de senha de domínio do Active Directory é suficiente?

Considerando a importância das senhas, você espera que o Active Directory tenha um mecanismo forte para protegê-las. Infelizmente, esse mecanismo – as configurações de política de senha de domínio – é, na melhor das hipóteses, rudimentar. Mesmo com a complexidade da senha habilitada, os usuários do domínio ainda podem usar senhas comuns e vulneráveis. Há uma boa chance de que, mesmo enquanto você lê isso, alguns de seus funcionários estejam usando senhas que são uma combinação do nome da empresa e do mês e ano em que criaram a senha.

O Instituto Nacional de Padrões e Tecnologia, em suas Diretrizes de Identidade Digital , recomenda a proibição de senhas que são comumente usadas, esperadas ou comprometidas. No entanto, o Active Directory não possui um mecanismo interno para realizar isso.

Lista negra de senhas vulneráveis ​​comuns no Active Directory usando o ADSelfService Plus

ManageEngine ADSelfService Plus permite que você bloqueie os usuários de escolher senhas comuns que contenham palavras de dicionário, padrões, parte de seu nome de usuário ou senhas antigas. O recurso de aplicação de política de senha no ADSelfService Plus suporta configurações avançadas de política de senha que não estão disponíveis na política de senha do Active Directory. Essas configurações incluem uma regra de dicionário e um verificador de padrões, além de treze outras configurações. Ao aplicar essas configurações, você pode garantir que os usuários escolham senhas fortes que os invasores não possam violar.

Fig 1: As configurações de política de senha suportadas pelo ADSelfService Plus

A regra de dicionário permite importar um dicionário que contém listas de senhas e senhas perdidas e impeça que os usuários colham senhas que correspondam a um valor nesse dicionário. Você também pode editar o dicionário para incluir sua própria lista de palavras que deseja restringir.

O verificador de padrões permite restringir os usuários de incluir padrões comuns em suas senhas, como qwer, asdf e 12345. Você também pode editar a lista de padrões para incluir padrões como o nome da empresa, datas específicas e assim por diante.

Não há como configurá-lo e esqueça a regra quando se trata da política de senha de sua organização. Técnicas de ataque de senha estão em constante evolução. Com base no comportamento e nas ameaças do usuário, você precisa revisar sua política de senha regularmente e atualizá-la conforme necessário. O ADSelfService Plus pode ajudá-lo a implementar controles fortes de política de senha no Active Directory, para que você possa manter o nível desejado de segurança. A ferramenta é totalmente gratuita para até 50 usuários. Experimente o ADSelfService Plus.

Deixe um comentário