微软宣布从去年6月就迈入公开预览的azure ad password protection功能正式上线了,当azure管理人员激活该功能之后,它就会自动拒绝用户设置薄弱密码,以预防密码喷洒(password spraying)攻击。
所谓的密码喷洒攻击是以同一组密码去测试大量的帐号,与锁定特定帐号、以大量密码进行配对的暴力破解(brute force)攻击手法刚好相反。不管是哪一种,都有可能让企业网络因特定员工的帐号遭到入侵而受到危害,而azure ad password protection即是针对密码喷洒攻击的安全金沙软件免费下载的解决方案。
azure ad(azure active directory)是azure平台上负责身份验证与访问管理的服务,在激活azure ad password protection之后,它将不许用户设定超过500个最常用的密码,再加上超过1万个相关密码的变种。
负责身份管理的微软副总裁alex simons解释,这超过500个最常用的密码是从数十亿笔的外泄凭证分析而得,微软将会定期更新该禁止使用的密码数据库。 simons还举例说明了所谓的密码变种,以“password”密码为例,有不少人会将它改成“p@$$w0rd”,以@取代a、$取代s,以及0取代o,这类的密码同样会遭到azure ad password protection的阻拦。
伴随着azure ad password protection而来的,还有智能封锁(smart lockout)功能,通过云计算智能来封锁那些企图猜测用户密码的歹徒,它能够识别来自有效用户或歹徒的登录而采取不同的作法。
智能封锁为azure ad的默认值,也允许管理员设置输入错误密码的次数、或允许下次重新输入密码的时间。
此外,ad password protection功能不仅适用于azure,也适用于本地部署的windows server active directory,以同时保障云计算环境及混合环境的帐号安全。