Microsoft har ifølge The Register tatt i bruk en dynamisk oppdatert liste over passord som brukerne ikke kan velge i forbindelse med Microsoft Account Service og lukkede testutgaver av Azure AD (Active Directory). Listen skal tas offisielt i bruk av Azure AD i løpet av noen måneder.
I et blogginnlegg som selskapet kom med i går, opplyses det at det det ikke er lengden eller kompleksiteten til passord som er det viktigste. Heller ikke at passord byttes ut jevnlig. Tvert imot kan dette gjøre passord enklere å gjette, fordi vi mennesker kan være temmelig forutsigbare i våre valg.
Det som derimot kan være avgjørende, er å velge et passord som er unikt, som ikke benyttes andre steder.
- Leste du denne? Ved denne skolen bytter de passord ofte. Det synes norsk sikkerhetsekspert er helt tullete
Belastede passord
Passordlekkasjer, nå sist 117 millioner brukernavn og passord som angivelig skal stamme fra et angrep mot LinkedIn i 2012, bidrar til at både ondsinnede og andre får mye kjennskap til bruken av passord, noe som blir utnyttet i angrep, men også til å beskytte mot angrep.
Microsoft benytter slike oversikter, sammen med data fra daglige angrep på mer enn 10 millioner brukerkontoer i selskapets systemer, til å oppdatere den dynamiske listen med svartelistede passord, som er så vanlige eller belastede at de ikke får brukes.
Brukeren selv vil ikke merke noe til dette så lenge innbruddsforsøket skjer på brukerens datamaskin eller i samme nettverk som brukeren benytter.
Microsoft Identity Protection Team kom nylig med denne veilederen for passordsikkerhet i blant annet Active Directory-produktene. En god del av dokumentet er rettet mot vanlige brukere. Det aller mest sentrale råder er at man aldri bruker passordet til Microsoft-kontoen noe annet sted.
- Etter diger lekkasje fra e-posttenester: – De fleste av passordene er ugyldige
