密码信息

选择密码

密码是保护数据安全的关键。选择一个安全的密码是确保你的帐户安全的最好方法。目前存在各种各样的密码黑客程序，允许黑客访问个人数据，损坏机器或破坏整个系统或网络。TK体育使用一个风险评分系统，旨在确定何时应该更改密码。如果用户的“风险评分”仍然低于“高风险”评分，则用户可以无限期地继续使用密码。一旦用户的累积风险评分达到高风险，用户必须使用称为多因素认证（MFA）的过程更改密码。

密码建议

这里有一些建议，以帮助您创建最安全的密码基于微软的建议和他们的研究，作为世界上最大的身份提供商（idp）之一。同样，本页面将提供多个密码作为示例，建议您不要以任何形式使用它们作为您的个人密码。

请不要使用：

1. 任何形式的登录用户名
2. 你的名字或你家人的名字
3. 容易获得的个人信息，如车牌号码、电话号码、办公室号码、生日等。
4. 包含在英语或外语词典、拼写列表或其他明显的单词列表（如“password”、“abc12345”等）中的单词。
5. 将字母字符替换为看起来像a的非字母字符：‘0’替换‘o’或‘1’替换‘l’

你可以使用：

1. 小写/大写字母字符与数字字符的组合；例如,PlatoRats182342。
2. 将字母字符替换为至少一个非字母字符（数字或标点符号—仅限于键盘顶部的字符）；即' ~!@#$%^&*()_+-=)，应该嵌入到密码中；例如Plato&Rats318569
3. 一个容易记住的密码，这样你就不必写下来，而且你可以快速输入。

如何评估密码？

当用户更改或重置其密码时，将根据全局和自定义禁用密码列表中的术语组合列表对新密码进行验证，以检查其强度和复杂性。

即使用户的密码包含禁用密码，如果整体密码足够强，该密码也可能被接受。新配置的密码会经过以下步骤来评估其整体强度，以决定是否接受或拒绝：

第一步：正常化

新密码首先要经过规范化过程。这种技术允许将一小组禁用密码映射到一组大得多的潜在弱密码。

归一化包括以下两个部分：

所有大写字母改为小写。然后，执行常见的字符替换，例如以下示例：



原来的信	代替信件
0	o
1	l
美元	年代
@	一个

 

考虑下面的例子：

1. 禁止使用“blank”密码。
2. 用户试图将密码修改为“Bl@nK”。
3. 即使“Bl@nk”没有被禁止，规范化过程也会将此密码转换为“空白”。
4. 此密码将被拒绝。

步骤2：检查密码是否被认为是禁止的

然后检查密码是否有其他匹配行为，并生成分数。这个最终分数决定密码更改请求是被接受还是被拒绝。

模糊匹配行为

对规范化密码使用模糊匹配，以确定它是否包含在全局或自定义禁用密码列表中找到的密码。匹配过程基于一(1)个比较的编辑距离。

考虑下面的例子：

禁止使用密码“abcdef”。

用户尝试将其密码更改为以下其中一种：

• “abcdeg”——最后一个字符从‘f’变为‘g’
• 的英语字母‘g’加到结尾
• “中的”——末尾的‘f’已从end中删除
• 以上每个密码都没有特别匹配被禁止的密码“abcdef”。
• 但是，由于每个示例都在禁用术语“abcdef”的编辑距离1之内，因此它们都被认为与“abcdef”匹配。
• 这些密码将被拒绝。

子字符串匹配（特定条件）

在规范化密码上使用子字符串匹配来检查用户的姓和名以及租户名。在本地混合场景的AD DS域控制器上验证密码时，不会进行租户名称匹配。

重要的

子字符串匹配只对至少四个字符长的名称和其他术语强制执行。

考虑下面的例子：

1. 名为Poll的用户希望将其密码重置为“p0LL23fb”。
2. 归一化后，该密码将变成“poll23fb”。
3. 子字符串匹配发现密码包含用户的名字“Poll”。
4. 尽管“poll23fb”并没有特别出现在被禁止的密码列表中，但子字符串匹配在密码中发现了“Poll”。
5. 此密码将被拒绝。

分数计算

下一步是在用户的规范化新密码中识别所有禁用密码的实例。评分标准如下：

1. 在用户密码中发现的每一个禁用密码都得一分。
2. 每个不属于禁用密码的字符加1分。
3. 密码必须至少有五(5)分才能被接受。

对于接下来的两个示例场景，Contoso正在使用Azure AD密码保护，并且在他们的自定义禁用密码列表中有“Contoso”。我们还假设“blank”在全局列表中。

在以下示例场景中，用户将密码更改为“comntos0blank12”：

1. 归一化后，该密码变为“contosoblank12”。

2. 匹配过程发现该密码包含两个禁用密码：“contoso”和“blank”。

3. 然后，该密码将获得以下分数：

   [contoso] + [blank] +[1] +[2] = 4分

4. 因为这个密码少于5分，所以被拒绝。

让我们看一个稍微不同的示例，以展示密码中的额外复杂性如何构建所需的接受点数。在下面的示例场景中，用户将其密码更改为“ContoS0Bl@nkf9!”"：

1. 归一化后，该密码变为“contosoblankf9!”

2. 匹配过程发现该密码包含两个禁用密码：“contoso”和“blank”。

3. 然后，该密码将获得以下分数：

   [control] + [blank] + [f] + [9] + [!]= 5分

4. 因为这个密码至少有5分，所以可以接受。

重要的

根据正在进行的安全分析和研究，禁用密码算法以及全局禁用密码列表可以并且确实在Azure中随时更改。

对于混合场景下的本地数据中心代理服务，更新算法后需要升级数据中心代理软件才能生效。

用户看到了什么？

当用户试图重置或更改密码为将被禁止的内容时，将显示以下错误消息之一：

不幸的是，你的密码包含一个单词、短语或模式，使你的密码很容易被猜到。请用不同的密码再试一次。”

“这个密码我们见过太多次了。选择一些更难猜的东西。”

“选择一个不易被人猜到的密码。”