こんにちは!市川です!
従業員がSSPR*(セルフサービスパスワードリセット)などにより、安全性の低い簡単なパスワードを設定するリスクがあります。簡単なパスワードは、ブルートフォース攻撃*や辞書攻撃*の対象となり、重大な被害を引き起こす可能性があります。そのため、社内の情報セキュリティポリシーに従い、一定の桁数や複雑さを持つ強力なパスワードを利用することが重要です。
今回は、「Microsoft Entra IDの”カスタム禁止パスワード機能”を使用して、推測が簡単なパスワードの利用を防ぐ方法」をご紹介します。これにより、「1234」や「password」といった、安全性の低いパスワードの利用を禁止します。簡単なパスワードを狙ったサイバー攻撃から組織を守り、社内規定に沿ったパスワードの使用が可能となります。ぜひご参考ください!
———————————————————————————————————————————–
※Microsoft Entra ID P1 以上のライセンスが必要となります。
※* については、目次「1.簡単なパスワードはなぜ狙われる?」にて詳細を説明しています。
———————————————————————————————————————————–
・従業員が自由にパスワードを決められる場合
・カスタム禁止パスワード機能を使用した場合
目次
1.簡単なパスワードはなぜ狙われる?
*SSPR(セルフサービスパスワードリセット):ユーザーが自分でパスワードをリセットできる機能です。パスワードを忘れた場合やアカウントがロックされた場合に、自分でパスワードを変更することができます。
*ブルートフォース攻撃:”総当たり攻撃”とも呼ばれ、考えられるすべてのパスワードの組み合わせを試してアカウントにアクセスしようとする攻撃手法です。攻撃者は、可能な限り多くのパスワードを試行し、正しいパスワードを見つけ出すため、パスワードが短く単純であるほど成功しやすくなります。
*辞書攻撃:一般的な単語やフレーズをパスワードとして試行する攻撃手法です。攻撃者は、辞書に登録された単語リストを使用して、パスワードを推測しようとします。パスワードが簡単な単語、フレーズであるほど成功しやすくなります。
2.カスタム禁止パスワード機能の設定
それでは、Entra IDで禁止するパスワードを設定します。
1.Microsoft 365 管理センターを開き、「ID」をクリックします。
2.「保護」のタブより「認証方法」をクリックします。
3.「パスワード保護」をクリックします。
4.「カスタム リストの適用」を「はい」に設定し、「カスタム禁止パスワードの一覧」に禁止するパスワードを入力します。
※今回は、「yjk123」「abcdef」「tokyo」などのキーワードを禁止します。
5.「保存」をクリックします。
6.パスワード保護ポリシーが正常に保存されました。
3.パスワード変更時のユーザー画面
次に、実際にユーザーの画面でSSPRを使用してパスワード変更を行います。
1.Microsoft 365 のログイン画面を開き、「サインイン」をクリックします。
2.ユーザー名を入力し、「次へ」をクリックします。
3.「パスワードを忘れた場合」をクリックします。
4. CAPTCHAの文字認証(歪んだ文字や数字)を正しく入力し、「次へ」をクリックします。
5.認証方法を選択し、認証します。
※SSPRの設定により、認証回数や方法は異なります。
6.2度目の認証を行います。
7.目次2の手順4で設定した、禁止されている安全性の低いパスワードを入力し、「完了」をクリックします。
8.「残念ながら、パスワードには組織で禁止されている単語、語句、パターンが含まれています。別のパスワードでもう一度お試しください。」と表示され、「yjk123」というパスワードは組織で禁止されていることがわかります。
9.ほかにも手順4で設定した「abcdef」や「tokyo」というパスワードも同様、禁止されていることがわかり、これらの安全性の低いパスワードには変更することができませんでした。
その他お困りごとも動画で解説!
