微软宣布从去年6月就迈入公开预览的Azure AD Password Protection功能正式上线了,当Azure管理人员激活该功能之后,它就会自动拒绝用户设置薄弱密码,以预防密码喷洒(Password Spraying)攻击。
所谓的密码喷洒攻击是以同一组密码去测试大量的帐号,与锁定特定帐号、以大量密码进行配对的暴力破解(Brute Force)攻击手法刚好相反。不管是哪一种,都有可能让企业网络因特定员工的帐号遭到入侵而受到危害,而Azure AD Password Protection即是针对密码喷洒攻击的安全解决方案。
Azure AD(Azure Active Directory)是Azure平台上负责身份验证与访问管理的服务,在激活Azure AD Password Protection之后,它将不许用户设定超过500个最常用的密码,再加上超过1万个相关密码的变种。
负责身份管理的微软副总裁Alex Simons解释,这超过500个最常用的密码是从数十亿笔的外泄凭证分析而得,微软将会定期更新该禁止使用的密码数据库。 Simons还举例说明了所谓的密码变种,以“Password”密码为例,有不少人会将它改成“P@$$w0rd”,以@取代a、$取代s,以及0取代o,这类的密码同样会遭到Azure AD Password Protection的阻拦。
伴随着Azure AD Password Protection而来的,还有智能封锁(Smart Lockout)功能,通过云计算智能来封锁那些企图猜测用户密码的歹徒,它能够识别来自有效用户或歹徒的登录而采取不同的作法。
智能封锁为Azure AD的默认值,也允许管理员设置输入错误密码的次数、或允许下次重新输入密码的时间。
此外,AD Password Protection功能不仅适用于Azure,也适用于本地部署的Windows Server Active Directory,以同时保障云计算环境及混合环境的帐号安全。