È nella natura umana utilizzare password facili da digitare e facili da ricordare. Possono essere schemi di tastiera familiari come 12345 o parole come password. Gli elenchi delle password utilizzate comunemente (chiamati dizionari di password) sono facilmente accessibili per hacker e autori degli attacchi e forniscono loro un vantaggio negli attacchi informatici.
A peggiorare la situazione, sono disponibili pubblicamente enormi elenchi di account compromessi e le relative password. Dato che gli utenti hanno la tendenza a utilizzare la stessa password per molti siti, gli autori degli attacchi possono tentare di effettuare l'accesso a più siti utilizzando le stesse credenziali.
Combinando la conoscenza della natura umana con gli elenchi basati sui dati delle password comuni e compromesse, gli autori degli attacchi utilizzano strategie di attacco creative come:
Gli amministratori possono proteggere l'organizzazione da questi attacchi mediante l'inserimento delle password nell’elenco degli elementi bloccati. Questo metodo prevede di impedire l'utilizzo delle password più comuni e delle loro varianti. Impedire l'utilizzo delle password compromesse o vulnerabili può migliorare la sicurezza dell'organizzazione evitando che gli autori degli attacchi scoprano la password di dominio degli utenti e superino l'accesso iniziale basato su password nel dominio Active Directory.
PowerShell di Windows non offre la funzionalità di inserimento delle password nell’elenco degli elementi bloccati.
ManageEngine ADSelfService Plus, una soluzione di sicurezza delle identità con autenticazione a più fattori, Single Sign-On e funzionalità di gestione self-service delle password, offre l'inserimento delle password nell’elenco degli elementi bloccati per Active Directory e gli account delle applicazioni aziendali tramite lo strumento di applicazione dei criteri delle password e l'integrazione con Have I Been Pwned?. Il primo sistema impone regole di criteri relativi alle password che impediscono l'utilizzo di parole di dizionario, palindromi e schemi, mentre il secondo sistema impedisce l'utilizzo della password esposte in precedenza.
Con ADSelfService Plus, configura un criterio relativo alle password personalizzato tramite la funzionalità dello strumento di applicazione dei criteri delle password
Oltre a essere facile da configurare, ADSelfService Plus ha numerosi vantaggi in confronto agli script PowerShell.
Gli amministratori possono creare criteri relativi alle password personalizzati dai controlli avanzati dei criteri relativi alle password che inseriscono nell’elenco degli elementi bloccati le password vulnerabili, gli schemi comuni di tastiera, i palindromi, ecc.
Gli amministratori possono caricare gli elenchi delle password comuni e violate con facilità (chiamati dizionari di password) per impedire che le password di quegli elenchi vengano utilizzate.
Have I Been Pwned? è un servizio che informa gli utenti se le password che utilizzano sono state compromesse durante le passate violazioni dei dati. Permette loro anche di sapere se hanno utilizzato password vecchie, vulnerabili o duplicate.
Gli amministratori possono applicare i criteri delle password e l'integrazione Have I Been Pwned? durante la reimpostazione self-service delle password e le modifiche delle password per Active Directory e le applicazioni in cloud. Possono essere gestite anche le modifiche native delle password come le modifiche delle password tramite Ctrl+Alt+Canc e le reimpostazioni delle password dal portale ADUC.
Offre tecniche di autenticazione a più fattori avanzate tra cui elementi biometrici e YubiKey per la sicurezza delle app in cloud.
Gli utenti possono effettuare la reimpostazione self-service delle password da più punti di accesso come la schermata di accesso, i dispositivi mobili e un portale web protetto.
Dai filo da torcere agli hacker con una maggiore sicurezza delle password.