Gå till huvudinnehåll
Microsoft 365
Prenumerera

Regelverk för Azure AD och ADFS: Skydda dig mot spray-attack med lösenord

Hej!

Så länge som det har funnits lösenord har folk försökt lista ut vad de är. I dagens blogginlägg handlar om en attack som blivit EXTREMT vanlig på sistone och vad man kan göra för att skydda sig. Den här typen av angrepp kallas oftast för spray-attack med lösenord (password spray attack).

Under en spray-attack med lösenord provar kriminella hackare de vanligast förekommande lösenorden på många olika konton och tjänster för att försöka få åtkomst till alla lösenordsskyddade tillgångar som påträffas. Vanligen omfattar attackerna flera olika organisationer och identitetsproviders. Hackern kan till exempel använda ett populärt toolkit som Mailsniper för att hitta alla användare i flera olika organisationer och prova de vanliga lösenorden ”P@$$w0rd” och ”Password1” på alla dessa konton. Här nedan visar vi ett exempel på hur en attack kan se ut:

Användarnamn som provas Lösenord som provas
[email protected] Password1
[email protected] Password1
[email protected] Password1
[email protected] Password1
[email protected] P@$$w0rd
[email protected] P@$$w0rd
[email protected] P@$$w0rd
[email protected] P@$$w0rd

Detta attackmönster undgår de flesta identifieringsteknikerna eftersom attacken oftast ser ut som en enstaka misslyckad inloggning ur den individuella användarens eller företagets synvinkel.

För hackern handlar det ofta om sannolikhetslära: det finns några lösenord som är ofta förekommande. De ofta förekommande lösenorden utgör inte mer än 0,5–1,0 % av alla konton, men det betyder ändå att hackern lyckas få tillgång till några konton per tusen attackerade konton. För en hacker räcker det gott och väl för att betraktas som framgångsrik.

De använder dessa konton för att leta reda på information i e-postmeddelanden, hitta kontaktuppgifter, skicka nätfiskemeddelanden eller utöka målgruppen för spray-attacken. En kriminell hacker bryr sig inte om människorna som drabbas – hen vill bara få resultat och komma vidare.

Som tur är har Microsoft redan många verktyg på plats för att hindra dessa angrepp – och mer är på gång. Läs vidare för att se vad du kan göra direkt och under månaderna som kommer för att stoppa spray-attacker med lösenord.

Fyra enkla steg för att skydda sig från spray-attacker med lösenord

Steg 1: Använd molnautentisering

Varje dag görs miljarder av inloggningar till Microsofts molntjänster. Tack vare våra algoritmer för säkerhetsidentifiering kan attacker identifieras och blockeras i realtid. Identifierings- och skyddssystemen fungerar i realtid, men eftersom de är molnbaserade de endast tillgängliga via Azure Active Directory-autentisering i molnet (inklusive Direktautentisering).

Smart utlåsning

I molnet använder vi Smart utlåsning för att skilja mellan inloggningsförsök från den riktige användaren och en kriminell hacker. Vi låser ute hackern och låter den riktige användaren gå vidare med att använda kontot. Detta stoppar riktade DoS-attacker och ambitiösa spray-attacker med lösenord. Detta gäller alla inloggningar via Azure Active Directory, oavsett licensnivå, och alla inloggningar till Microsoft-konton.

Klientorganisationer som använder sig av Active Directory Federation Services (ADFS) kommer att få Smart utlåsning inbyggt i ADFS i Windows Server 2016 från och med mars 2018. Funktionen kommer att göras tillgänglig via Windows Update.

IP-utlåsning

Funktionen IP-utlåsning analyserar miljarder inloggningar för att utvärdera kvaliteten hos trafiken som går från varje IP-adress till Microsofts system. Under analysen letar funktionen IP-utlåsning reda på IP-adresser som uppvisar bedrägliga beteenden och blockerar inloggningar i realtid.

Attacksimuleringar

Attacksimulatorn finns nu som en allmänt tillgänglig förhandsversion för Office 365 Threat Intelligence. Med det här verktyget kan kunderna simulera attacker på sina slutanvändare, se hur användarna beter sig i samband med attackerna, uppdatera principerna och se till att man har tillräckligt bra säkerhetsprogram på plats för att kunna stå emot exempelvis spray-attacker med lösenord.

Saker som vi rekommenderar att du gör direkt:

  1. Om du använder molnautentisering har du redan ett grundläggande skydd
  2. Om du använder ADFS eller något annat hybridscenario kommer en ADFS-uppgradering av Smart utlåsning i mars 2018
  3. Använd Attacksimulatorn för att på ett proaktivt sätt utvärdera säkerheten och göra justeringar vid behov

Steg 2: Använd multifaktorautentisering

Lösenordet utgör nyckeln till ett konto, men under en spray-attack med lösenord kan det hända att en hacker listar ut lösenordet. För att kunna undvika detta behöver man ett starkare skydd än bara ett lösenord för att kunna skilja på kontoinnehavaren och hackern. Här nedan följer tre metoder.

Riskbaserad multifaktorautentisering

Azure AD Identity Protection använder inloggningsuppgifterna ovan plus avancerad maskininlärning och algoritmisk identifiering för att riskbedöma alla inloggningar i systemet. Med hjälp av den här funktionen kan företagskunderna skapa egna principer i Identity Protection som tvingar användarna att autentisera sig med en andra faktor om, och endast om, en risk identifierats för användaren eller sessionen. Pressen på användarna minskar samtidigt som du lägger hinder i vägen för illasinnade hackare. Läs mer om Azure AD Identity Protection här.

Multifaktorautentisering – alltid på

Om du vill höja säkerhetsnivån ytterligare ett snäpp kan du använda Azure MFA för att införa multifaktorautentisering för användarna på permanent basis, både när det gäller molnautentisering och ADFS. Detta kräver så klart att slutanvändarna alltid har sina enheter nära till hands, och att de får logga in med multifaktorautentisering lite oftare av uppenbara säkerhetsskäl. Denna funktion ska alltid vara aktiverad för alla administratörer i organisationen. Läs mer om Azure Multi-Factor Authentication samt hur man konfigurerar Azure MFA för ADFS.

Azure MFA som primär autentiseringsmetod

I ADFS 2016 kan du använda Azure MFA som primär autentiseringsmetod för autentisering utan lösenord. Det här är det perfekta verktyget för att skydda sig mot spray-attacker med lösenord och lösenordsfiske – finns det inget lösenord går det inte att lista ut det heller. Lösningen funkar bra för alla typer av enheter och formfaktorer. När ett engångslösenord väl har validerats med Azure MFA kan du även komplettera med lösenord som andra faktor. Läs mer om hur man använder lösenord som andra faktor här.

Saker som vi rekommenderar att du gör direkt:

  1. Vi rekommenderar att du alltid har multifaktorautentisering aktiverat för alla administratörer i organisationen, särskilt då för prenumerationsägare och administratörer i klientorganisationer. Seriöst, gör det på en gång.
  2. För att ge resten av dina användare bästa möjliga upplevelse rekommenderar vi att du använder riskbaserad multifaktorautentisering, något som ingår i alla Azure AD Premium P2-licenser.
  3. Som alternativ kan du använda Azure MFA för molnautentisering och ADFS.
  4. I ADFS kan du uppgradera till ADFS på Windows Server 2016 så att du kan använda Azure MFA som primär autentiseringsmetod, särskilt då för all åtkomst via extranätet.

Steg 3: Starkare lösenord för alla

Även om du har allt ovanstående på plats måste alla användare ha starka lösenord för att på ett effektivt sätt kunna stoppa spray-attacker med lösenord. Det är ofta svårt för vanliga användare att skapa starka lösenord. Microsoft har dock verktyg som hjälper dig hela vägen fram.

Förbjudna lösenord

I Azure Active Directory körs alla ändringar och återställningar av lösenord mot en kontrollfunktion med förbjudna lösenord. Varje gång ett nytt lösenord anges görs en fuzzy match mot lista med ord som är förbjudna att använda i ett lösenord – inte ens om de skrivs med så kallat leetspeak (l33t-sp3@k). Om det blir en träff avvisas lösenordet och användaren ombeds istället ange ett svårare lösenord. Vi har skapat en lista med de vanligast förekommande lösenorden i attacker och uppdaterar listan regelbundet.

Anpassa listan över förbjudna lösenord

Låt klientorganisationerna anpassa listan över förbjudna lösenord. Administratörerna får göra en lista över ord som är vanligt förekommande inom den egna organisationen – välkända medarbetare, grundare, produkter, verksamhetsorter, regionala ikoner etc. – och hindra användarna från att använda dem i lösenorden. Den här listan blir ett obligatoriskt komplement till den globala listan, så du behöver aldrig välja. Just nu finns den tillgänglig i en begränsad förhandsversion, men en bred lansering kommer senare i år.

Förbjudna lösenord vid lokala förändringar

I vår lanserar vi ett verktyg som gör det möjligt för företagsadministratörer att förbjuda lösenord i Hybrid Azure AD-miljöer. Listan med förbjudna lösenord synkroniseras mellan molnet och din lokala miljö och tvingas på alla domänkontrollanter av agenten. Administratörernas lösenord blir svårare att gissa, oavsett var användaren ändrar lösenordet – i molnet eller lokalt. En begränsad förhandsversion släpptes i februari 2018 och blir allmänt tillgänglig senare i år.

Byt inställning till lösenord

Det finns många missuppfattningar kring starka lösenord. Tyvärr kan matematiska principer ofta leda till förutsägbara användarbeteenden. Krav på att använda vissa typer av tecken och regelbundna lösenordsbyten resulterar ibland i igenkännbara mönster. Läs vårt white paper om lösenord för mer information. Om du använder Active Directory med PTA eller ADFS bör du uppdatera dina lösenordsprinciper. Om du använder molnhanterade konton bör du överväga att använda lösenord som aldrig löper ut.

Saker som vi rekommenderar att du gör direkt:

  1. När Microsofts verktyg för förbjudna verktyg väl lanseras rekommenderar vi att du installerar det lokalt, för att göra det lättare för användarna att skapa starka lösenord.
  2. Granska dina lösenordsprinciper och överväg att använda lösenord som aldrig löper ut för att undvika lätt igenkännbara mönster i samband med lösenordsbyten.

Steg 4: Fler fantastiska funktioner i ADFS och Active Directory

Om du använder hybridautentisering med ADFS och Active Directory finns det flera åtgärder som du kan vidta för att skydda din miljö från spray-attacker med lösenord.

Första steget: organisationer med ADFS 2.0 eller Windows Server 2012 bör överväga att migrera till ADFS i Windows Server 2016 så snart som möjligt. Den nyaste versionen uppdateras snabbare och har en större verktygsuppsättning med till exempel extranätutlåsning. Och kom ihåg att vi gjort det superenkelt att uppgradera från Windows Server 2012R2 till 2016.

Blockera äldre autentisering i extranätet

Äldre autentiseringsprotokoll har ingen tvingande multifaktorautentisering, så därför är det bäst att blockera dem i extranätet. Detta hindrar hackarna från att utnyttja frånvaron av multifaktorautentisering till att köra spray-attacker med lösenord.

Aktivera utlåsning från extranätet med ADFS-webbprogramproxy

Om din ADFS-webbprogramproxy saknas utlåsning från extranätet bör du försöka aktivera detta så snart som möjligt för att skydda användarna från råstyrkeattacker.

Driftsätt Azure AD Connect Health för ADFS

Azure AD Connect Health snappar upp IP-adresser och dåliga användarnamn-/lösenordsbegäranden som registrerats i ADFS-loggarna, ger dig fler rapporteringsmöjligheter för en mängd olika scenarier och mer statistik som teknikerna kan använda för att öppna assisterade supportärenden.

Ladda ned den senaste versionen av Azure AD Connect Health-agenten för ADFS till alla ADFS-servrar (2.6.491.0). ADFS-servrarna måste vara utrustade med Windows Server 2012 R2 med KB 3134222 installerat eller Windows Server 2016.

Använd åtkomstmetoder utan lösenord

Det går inte att lista ut lösenordet om det inte finns något. Det finns autentiseringsmetoder utan lösenord för ADFS och webbprogramproxyn:

  1. Certifikatbaserad autentisering gör det möjligt att blockera tillgången till användarnamn-/lösenordsslutpunkter redan vid brandväggen. Läs mer om certifikatbaserad autentisering i ADFS
  2. Azure MFA kan användas som en andra faktor i samband med molnautentisering i ADFS 2012 R2 och 2016. Funktionen kan även användas som primär faktor i ADFS 2016 för att helt stoppa spray-attackerna. Läs mer om hur man konfigurerar Azure MFA med ADFS här
  3. Windows Hello för företag – tillgängligt i Windows 10 med stöd från ADFS i Windows Server 2016 – gör det möjligt att få åtkomst helt utan lösenord (även via extranätet) med starka kryptografinycklar knutna till både användaren och enheten. Detta är tillgängligt för företagshanterade enheter som är Azure AD-anslutna eller Hybrid Azure AD-anslutna samt för privata enheter med hjälp av ”Lägg till ett arbetsplats- eller skolkonto” i inställningsappen. Läs mer om Windows Hello för företag.

Saker som vi rekommenderar att du gör direkt:

  1. Uppgradera till ADFS 2016 för att få snabbare uppdateringar.
  2. Blockera äldre autentisering i extranätet.
  3. Distribuera Azure AD Connect Health-agenter för ADFS på alla dina ADFS-servrar.
  4. Överväg att använda en primär autentiseringsmetod utan lösenord som exempelvis Azure MFA, certifikat eller Windows Hello för företag.

Bonus: Skydda dina Microsoft-konton

Om du redan har ett Microsoft-konto:

  • Toppen, du har redan ett grundläggande skydd! Microsoft-konton är även utrustade med funktioner som Smart utlåsning, IP-utlåsning, riskbaserade tvåstegsverifiering, lista över förbjudna lösenord med mera.
  • Du bör dock ta dig tid att gå till sidan Säkerhet för ditt Microsoft-konto och granska den säkerhetsinformation som används under tvåstegsverifieringen.
  • Överväg att ändra tvåstegsverifieringen till Alltid på här för att maximera säkerheten.

Bästa försvar är att följa rekommendationerna i denna blogg

Spray-attacker med lösenord är ett allvarligt hot mot alla webbaserade tjänster som använder lösenord för autentiseringen, men om du följer anvisningarna i bloggen får du maximalt skydd mot den här typen av attacker. Eftersom många attacker ser snarlika ut ger de här metoderna ett bra allround-skydd. Vi värnar om din säkerhet och jobbar kontinuerligt med att utveckla nya och avancerade säkerhetsfunktioner mot spray-attacker och liknande. Börja med att använda metoderna ovan och kom tillbaka regelbundet för att hitta nya verktyg som skyddar era användare från kriminella.

Jag hoppas att den här informationen ska vara användbar. Som alltid tar vi gärna emot feedback eller förslag från dig.

Vänliga hälsningar

Alex Simons (Twitter: @Alex_A_Simons)

Chef för programhantering

Microsoft Identity Division