В первой части мы показали как добавить определённые пароли или же базу скомпрометированных паролей на запрет использования . Но в данном случае механизм проверки работает над точным совпадением задаваемого пароля со словарем. Однако функциональность LPP позволяет запретить использование всех паролей созданных на основе запрещенных слов.
При этом технология сначала “нормализует” пароль перед выполнением сравнения. Фильтр паролей предоставляет возможность использования метода нормализации, что при включении, позволяют предотвратить использование общих замен символов и шаблонов, которые могут привести к легко угадываемым паролям. Если простой взять пример – простой вариант известного слова с некоторыми известными заменами. В то время как добавления символа, числа и буквы верхнего регистра достаточно, чтобы добиться необходимой по политике сложности, эти замены не обеспечивают дополнительных трудностей для современных инструментов взлома паролей. Пользователи обычно любят вносить предсказуемые изменения. Для примера пользователь вводит “P@ssw0rd”, а фильтр нормализует его в “password”.
Стоит отметить, что В обновленных рекомендациях NIST по паролю 2018 года рекомендуется блокировать пользователям выбор конкретных для контекста паролей, т.е. пароля, основанного на сервисе, веб-сайте или организации, для которой предназначен пароль. После аудита моих собственных пользователей, я был удивлен, увидев, сколько пользователей использовали пароль на базе имени организации. Мы можем предотвратить это, добавив название нашей компании в качестве запрещенного слова.
Для этого, с помощью командлета Add-BannedWord добавим в запрещенные слова наименование организации itsecforu
Add-BannedWord -Value itsecforu
Теперь добавим всем известный словарь паролей rockyou в список запрещенных слов. Как видим словарь содержит значение password.
Добавить файл с паролями можно также используя Import-BannedWords
Import-BannedWords -Filename "C:\ProtectedPass\rockyou-20.txt"
Пробует изменить пароль у нашего пользователя itsecforu, назначая пароль P@ssw0rd, который должен нормализоваться в password и быть запрещен.
И видим что изменение пароля запрещено:
Важно помнить об информировании пользователей. Они будут утверждать, что вводят пароль соответствующий требованиям, при этом выдается ошибка. Тут нужно будет найти баланс между безопасностью и удобством использования, который подходит для вашей организации.
