什麼是禁用密碼清單?
使用者通常會建立使用常見當地字組 (例如學校、運動團隊或知名人士) 的密碼。 這些密碼很容易猜測,且容易遭受字典型攻擊。 為了在您的組織中強制使用強式密碼,Azure Active Directory (Azure AD) 自訂禁用密碼清單可讓您新增要評估和封鎖的特定字串。 如果自訂禁用密碼清單中有相符項目,密碼變更要求就會失敗。
什麼是禁用密碼清單?
Azure AD 包含全域禁用密碼清單。 全域禁用密碼清單的內容不是以任何外部資料來源為基礎。 相反地,全域禁用密碼清單是以 Azure AD 安全性遙測和分析的持續結果為基礎。 當使用者或系統管理員嘗試變更或重設其認證時,系統會根據禁止密碼清單來檢查所需的密碼。 如果全域禁用密碼清單中有相符項目,密碼變更要求就會失敗。 您無法編輯此預設全域禁用密碼清單。
為了讓您有彈性決定允許的密碼,您也可以定義自訂禁用密碼清單。 自訂禁用密碼清單會與全域禁用密碼清單一起運作,以在組織中強制使用強式密碼。 您可將組織特有的字詞新增到自訂禁用密碼清單,例如下列範例:
- 品牌名稱
- 產品名稱
- 位置,例如公司總部
- 公司特有的內部字詞
- 具有特定公司意義的縮寫
- 使用公司當地語言顯示的月份和工作日
當使用者嘗試將密碼重設為全域或自訂禁用密碼清單上的某個項目時,他們會看到下列其中一則錯誤訊息:
- 不幸的是,您的密碼包含單字、片語或模式,可輕易猜到您的密碼。 請使用不同的密碼再試一次。
- 很遺憾,因為密碼包含系統管理員已封鎖的文字或字元,所以無法使用。 請使用不同的密碼再試一次。
自訂禁用密碼清單的上限為 1000 個字詞。 其設計訴求並非用來封鎖大型密碼清單。 若要充分發揮自訂禁用密碼清單的優點,請參閱自訂禁用密碼清單概念和密碼評估演算法總覽。