As pessoas costumam usar palavras comuns como suas senhas para que não as esqueçam. Essa prática afeta a segurança severamente, facilitando para os hackers violar facilmente as contas, adivinhando essas senhas comuns. O Azure AD Password Protection da Microsoft é um recurso que visa ajudar as organizações a eliminar as senhas fracas e comumente usadas, agindo essencialmente como um filtro de senha que rejeita as senhas de uso frequente e que podem ser facilmente hackeadas. No entanto, a proteção de senha do Azure AD não é perfeita.
Lista de senhas banidas globalmente
A Microsoft compilou uma lista de senhas que são consideradas comuns em uma lista global de senhas banidas. É uma lista de cerca de 1.000 senhas que não são divulgadas publicamente. Por padrão, essa lista se aplica a todos que usam o Azure AD, o que significa que eles não podem usar nenhuma dessas senhas.
Lista de senhas proibidas personalizadas
Para organizações que desejam ter controle sobre quais palavras ou frases são proibidas, a Microsoft fornece uma opção para adicionar valores personalizados à lista banida. Isso ajuda as organizações a bloquear variantes de seus próprios nomes de marca, termos específicos da empresa, etc. A lista personalizada aumenta a lista global de senhas banidas.
Método de avaliação de senha
A Microsoft emprega uma variedade de processos para garantir que até mesmo uma variante de uma senha banida não passe por seus filtros. Ele usa vários fatores para calcular uma pontuação de senha, que determina se uma senha é aceita ou não. Para mais informações sobre como as senhas são avaliadas, consulte a documentação da Microsoft.
Se você não tiver o Azure AD, não poderá usar a proteção por senha
Se você tiver apenas o AD local em seu ambiente de TI, não poderá usar a Proteção de senha do Azure AD. Você precisa de uma assinatura do Azure AD e deve ativar a sincronização por meio do Azure AD Connect para usar esse recurso.
Requisito de licença P1
Para estender a Proteção de Senha do Azure AD ao AD local, você não precisa apenas do Azure AD, mas precisa de uma assinatura do Azure AD Premium 1 (P1) no mínimo; isso custa US$ 6 por usuário/mês.
Uma reinicialização do controlador de domínio (DC) é necessária para instalar ou atualizar o agente
No AD local, você precisa instalar e configurar um agente DC e um serviço de proxy em todos os controladores de domínio de um domínio. É um processo complexo e, mesmo que você consiga executá-lo com êxito, é necessário reinicializar todos os controladores de domínio após a instalação e durante cada atualização.
Falta de personalização e visibilidade
A lista de senhas globais não está disponível publicamente e está sujeita a alterações a qualquer momento sem aviso prévio. Até mesmo os métodos de avaliação de senha podem mudar. Além disso, além de adicionar sua própria lista de senhas banidas, você não pode personalizar nenhuma das opções, como alterar o limite de pontuação da senha.
Nenhuma OU ou aplicação baseada em grupo
O recurso de proteção por senha não pode ser aplicado a um subconjunto específico de usuários. Quando ativado, ele se aplica a todos no domínio do AD, portanto, se você quiser aplicar proteção por senha somente para usuários privilegiados, estará sem sorte. Por exemplo, se você é uma instituição de ensino, não pode impor proteção por senha para o corpo docente sem afetar as contas dos alunos também.
Mensagens de erro confusas podem aumentar as chamadas ao suporte técnico
Quando os usuários alteram suas senhas na tela de logon do Windows ou usam outras opções nativas, elas recebem uma mensagem genérica “Sua senha não corresponde aos requisitos de complexidade”. Os usuários podem tentar digitar letras maiúsculas e minúsculas, números e caracteres especiais; no entanto, se a senha não passar no limite de pontuação da senha, não há como saber por que a opção de senha foi rejeitada. Como resultado, até mesmo uma simples alteração de senha pode levar a chamadas ao suporte técnico e afetar a produtividade dos funcionários.
ADSelfService Plus: uma alternativa melhor à proteção por senha do Azure AD
O ADSelfService Plus é uma solução integrada de gerenciamento de senhas de autoatendimento do Active Directory e conexão única (SSO). O recurso do Policy Enforcer de Senha no ADSelfService Plus realiza tudo que o Azure AD Password Protection faz e muito mais. Para obter mais informações, consulte este documento que compara o ADSelfService Plus com a proteção de senha do Azure AD.
Deseja experimentar o recurso do Policy Enforcer de Senha? Clique no botão abaixo e teste a solução por 30 dias. Caso tenha interesse, entre em contato conosco e solicite uma demonstração: