- Snelle links
- Wachtwoord-selfservice
- opnieuw instellen van wachtwoorden
- Hulpprogramma voor wijzigen van Active Directory-wachtwoorden
- Werk aanmeldgegevens in Windows-cache bij via ADSelfService Plus
- Hulpprogramma voor melden verloop van wachtwoord
- Meervoudige verificatie (MFA) voor eindpunten
- Toegangsbeslissingen met voorwaardelijke toegang automatiseren
- Verificatie zonder wachtwoord
- Wachtwoord-zelfbediening vanaf aanmeldscherm
- Wachtwoord Self-Service vanaf het aanmeldingsscherm
- SAP-wachtwoord opnieuw instellen
- Verlaag de kosten van de helpdesk met AD Self Service Plus
- Helpdesk-ondersteunde wachtwoordherstel
- Multi-factor Authentication (MFA)
- Tweeledige verificatie voor Windows-aanmelding
- Verificatie van gebruikersidentiteit in ADSelfService Plus
- Meervoudige verificatie voor VPN-aanmeldingen
- Meervoudige verificatie voor OWA-aanmeldingen
- MFA voor externe en lokale Windows-aanmeldingen
- MFA voor Microsoft 365-gebruikers
- Eenmalige aanmelding configureren voor Citrix ShareFile
- Gebruik van sterke wachtwoorden verzekeren
- Offline MFA
- Cloud-apps MFA
- Phishingbestendige MFA
- SSO en wachtwoordsynchronisatie
- Directory Self-Service
- Veiligheid
- Wachtwoordbeleidshandhaver
- Rapportage en controle
- Integraties
Wat is NIST?
De richtlijnen voor NIST-wachtwoorden, zoals uiteengezet in Special Publication (SP) 800-63B van het National Institute of Standards and Technology (NIST), zijn ontworpen om de wachtwoordsterkte te verbeteren. De standaarden van NIST-wachtwoorden worden sinds 2014 bijna elk jaar herzien, waarbij rekening wordt gehouden met inzichten van experts op het gebied van het kraken van wachtwoorden, kwetsbare wachtwoordpraktijken, het gedrag van hackers en eerdere wachtwoordinbreuken. Hierdoor zijn de NIST-standaarden de meest invloedrijke en aanbevolen standaard voor het maken van wachtwoorden. Een wachtwoord conform NIST is moeilijk te kraken en toch eenvoudig te gebruiken.
Wat zijn de meest recente richtlijnen voor NIST-wachtwoorden?
NIST SP 800-63B gaat verder dan best practices voor wachtwoorden en biedt ook korte richtlijnen voor de verificatie en het beheer van digitale identiteiten. De volgende tabel geeft een overzicht van de authenticator en verificatievereisten van NIST die te vinden zijn in SP 800-63B en hoe ADSelfService Plus uw organisatie kan helpen bij het voldoen aan deze vereisten.
| NIST vereiste | Beschrijving van vereiste | Hoe ADSelfService Plus bijdraagt aan de naleving van de vereiste |
| Sectie 5.1.1.1 | Een in het geheugen opgeslagen geheim, d.w.z. een wachtwoord, wachtwoordzin of pincode, moet minimaal acht tekens bevatten. | Met de Password Policy Enforcer van ADSelfService Plus kunt u de minimale wachtwoordlengte aanpassen van acht tekens of meer, afhankelijk van de vereisten van uw organisatie. U kunt ook de maximale wachtwoordlengte aanpassen als dat nodig is. |
| Sectie 5.1.1.1 | Alle ASCII-tekens (American Standard Code for Information Interchange), inclusief de spatie en Unicode-tekens, moeten door verificatie worden geaccepteerd in uit het geheugen geleerde geheimen. | Met ADSelfService Plus kunt u het aantal speciale, Unicode, numerieke, hoofdletters en kleine letters configureren dat gebruikers in hun wachtwoorden moeten opnemen. U kunt ook het tekentype configureren waarmee een wachtwoord moet beginnen. |
| Sectie 5.1.1.1 | De standaard door de verificatie geleverde opgeslagen geheimen moeten een minimale lengte van zes tekens hebben en worden gegenereerd met behulp van een goedgekeurde willekeurige bitgenerator. | ADSelfService Plus gebruikt een willekeurige bitgenerator om automatisch wachtwoorden te genereren met een standaard minimumlengte van zeven tekens. |
| Sectie 5.1.1.1 | Gebruikers mogen geen hints krijgen van verificaties om hen te helpen hun uit het geheugen opgeslagen geheim op te roepen. | ADSelfService Plus biedt tijdens identiteitsverificatie geen hints over wachtwoorden aan gebruikers. |
| Sectie 5.1.1.1 | De door gebruikers onthouden geheimen mogen geen eerder geschonden geheimen, woorden uit woordenlijsten, herhalende of opeenvolgende tekens (bijv. aaaaaa, 1234abcd) en contextgebonden woorden bevatten, zoals de naam van de dienst, de gebruikersnaam en afgeleiden daarvan. Verificaties moeten gebruikers vragen een ander geheim te kiezen als aan een van deze voorwaarden is voldaan. | Met ADSelfService Plus kunt u gebruikers beperken in het gebruik van woorden uit woordenlijsten, palindromen, voorspelbare patronen, herhaalde tekens en opeenvolgende tekens uit gebruikersnamen en oude wachtwoorden bij het instellen van nieuwe wachtwoorden. Dankzij de integratie met Have I Been Pwned?, een database met gehackte wachtwoorden, wordt ervoor gezorgd dat uw gebruikers geen zwakke of gecompromitteerde wachtwoorden instellen tijdens het opnieuw instellen of wijzigen van wachtwoorden. |
| Sectie 5.1.1.1 | Verificaties moeten een wachtwoordsterktemeter aanbieden om gebruikers te helpen bij het kiezen van sterk onthouden geheimen. | ADSelfService Plus biedt een Password Strength Analyzer, die direct visuele feedback geeft over de sterkte van wachtwoorden wanneer gebruikers hun wachtwoorden wijzigen of opnieuw instellen. |
| Sectie 5.1.1.1 | Onthouden geheimen mogen niet periodiek worden gewijzigd, tenzij er bewijs is van compromittering van het geheim. | ADSelfService Plus moedigt niet aan om het wachtwoord van eindgebruikers regelmatig of periodiek te wijzigen. Beheerders kunnen echter een automatische actie voor het opnieuw instellen van wachtwoorden activeren voor gebruikers met mogelijk gecompromitteerde wachtwoorden. |
| Sectie 5.1.1.1 | Gebruikers moeten de mogelijkheid hebben om de plakfunctionaliteit te gebruiken bij het invoeren van een opgeslagen geheim, wat het gebruik van wachtwoordmanagers vergemakkelijkt, waardoor de kans groter wordt dat gebruikers sterker opgeslagen geheimen kiezen. | Met ADSelfService Plus kunt u het gebruik van kopieer en plakfuncties in de wachtwoordvelden toestaan of voorkomen door gebruikers. |
| Sectie 5.1.1.1 | Om gebruikers te helpen bij het correct invoeren van een onthouden wachtwoord, moeten verificaties een optie bieden om het wachtwoord weer te geven in plaats van een reeks puntjes of sterretjes, totdat het is ingevoerd. | ADSelfService Plus geeft gebruikers de mogelijkheid om hun wachtwoorden te bekijken terwijl deze worden ingevoerd. |
| Sectie 5.2.2 | Om te beschermen tegen online gokaanvallen, moet het aantal opeenvolgende mislukte authenticatiepogingen op één account worden beperkt tot maximaal 100. | Met ADSelfService Plus kunt u het aantal mislukte aanmeldingspogingen configureren dat voor een gebruiker binnen een bepaalde tijd is toegestaan, evenals de vergrendelingsduur. |
| Sectie 5.2.2 | Om de kans te verkleinen dat een aanvaller een legitieme gebruiker uit zijn account buitensluit, moet een CAPTCHA worden ingevuld voordat verificatie wordt uitgevoerd. | Met ADSelfService Plus kunt u een CAPTCHA weergeven of verbergen voordat een gebruiker probeert zich te verifiëren. |
| Sectie 5.2.2 | Om de kans te verkleinen dat een aanvaller een legitieme gebruiker buitensluit van zijn account, moeten op risico's gebaseerde of adaptieve authenticatietechnieken worden gebruikt, waaronder het gebruik van IP-adres, geolocatie, timing van verzoekpatronen of browsermetagegevens. | ADSelfService Plus biedt beleid voor voorwaardelijke toegang dat automatisch aanvullende MFA-methoden biedt die zijn geconfigureerd voor verdachte toegangsverzoeken op basis van de IP's van gebruikers, geolocaties, tijdstip van toegang en gebruikte apparaten. |
| Sectie 5.2.3 | Voor bepaalde beveiligingsbeperkingen die in deze sectie zijn geïdentificeerd en genoemd, mag biometrie alleen worden gebruikt als onderdeel van MFA naast een fysieke authenticator (iets dat u hebt) en niet als een zelfstandige authenticator. | Met ADSelfService Plus kunt u een biometrische authenticator configureren naast andere authenticators, waaronder YubiKey, TOTP's en smartcards. |
| Sectie 5.2.3 | Er mogen niet meer dan vijf opeenvolgende mislukte authenticatiepogingen worden toegestaan voor de biometrische authenticator. | Met ADSelfService Plus kunt u het aantal mislukte aanmeldingspogingen configureren dat binnen een bepaalde tijd voor een gebruiker is toegestaan. |
| Sectie 5.2.3 | Als vijf opeenvolgende pogingen tot biometrische authenticatie mislukken, moet een vertraging van ten minste 30 seconden worden ingesteld voordat een nieuwe poging kan worden ondernomen, of moet de biometrische authenticator volledig worden uitgeschakeld. | Met ADSelfService Plus kunt u de duur van de accountvergrendeling configureren in het geval van een mislukte biometrische authenticatiepoging. |
| Sectie 5.2.5 | Om phishing en MITM aanvallen te weerstaan, moeten verificatiemechanismen worden ingezet die bestand zijn tegen imitatie van verificaties. | ADSelfService Plus biedt een phishing en MITM resistente authenticator voor FIDO wachtwoordsleutels, die alle pogingen tot imitatie van verificaties afweert met de cryptografietechnologie voor openbare sleutels. |
| Sectie 5.2.8 | Om replay-aanvallen te weerstaan, moeten replay-resistente verificatiemechanismen worden ingezet. | ADSelfService Plus biedt de resistente authenticator voor FIDO wachtwoordsleutels, die bestand is tegen replay-aanvallen met zijn cryptografietechnologie voor openbare sleutels. |
Bovendien classificeert NIST verificatiemechanismen in drie categorieën en noemt ze Authenticator Assurance Levels (AAL): AAL1, AAL2 en AAL3. Klik hier om meer te weten te komen over AAL's en hoe ze van elkaar verschillen.
Voldoe aan standaarden voor NIST wachtwoorden en verificaties met behulp van ADSelfService Plus
ADSelfService Plus biedt Handhaver van wachtwoordbeleid, Toegangsbeleiden MFA mogelijkheden om uw organisatie te helpen voldoen aan de NIST wachtwoord en verificatievereisten.
Handhaver van wachtwoordbeleid
De Handhaver van wachtwoordbeleid zorgt ervoor dat u een aangepast wachtwoordbeleid kunt afdwingen dat naadloos integreert met het ingebouwde AD wachtwoordbeleid, waardoor u meer gedetailleerde controle krijgt. Het wachtwoordbeleid van ADSelfService Plus kan worden ingesteld om de volgende vereisten af te dwingen:
- Tekens beperken
- Herhaling beperken
- Patroon beperken
- Lengte beperken
Deze instellingen omvatten het verplicht stellen van het aantal speciale, numerieke en Unicode-tekens. U kunt ook het type teken instellen waarmee het wachtwoord moet beginnen.
Voldoe aan de NIST wachtwoordvereisten door het opnemen van alfanumerieke tekens in wachtwoorden te configureren.
Voldoe aan de NIST wachtwoordvereisten door het opnemen van alfanumerieke tekens in wachtwoorden te configureren.
Met deze instellingen kunt u het gebruik van opeenvolgende tekens van gebruikersnamen of eerdere wachtwoorden beperken. Opeenvolgende herhaling van hetzelfde personage kan ook worden beperkt.
Weerhoud gebruikers ervan om hun vorige wachtwoorden opnieuw te gebruiken tijdens het maken van wachtwoorden.
Weerhoud gebruikers ervan om hun vorige wachtwoorden opnieuw te gebruiken tijdens het maken van wachtwoorden.
Met de instellingen op dit tabblad kunnen veelgebruikte woorden uit aangepaste woordenlijsten, patronen en palindromen worden beperkt.
Beperk gebruikers in het gebruik van veelgebruikte patronen, woorden uit woordenlijsten en palindromen in hun wachtwoorden.
Beperk gebruikers in het gebruik van veelgebruikte patronen, woorden uit woordenlijsten en palindromen in hun wachtwoorden.
Met deze regels kun kunt u zowel een minimum als een maximumaantal tekens voor het wachtwoord instellen.
Configureer de minimale en maximale wachtwoordlengte om te voldoen aan de richtlijnen voor NIST-wachtwoorden.
Configureer de minimale en maximale wachtwoordlengte om te voldoen aan de richtlijnen voor NIST-wachtwoorden.
Toegangsbeleid
Met ADSelfService Plus kunt u een willekeurig aantal beleidsregels voor selfservice in een bepaald domein definiëren. Deze beleidsregels kunnen worden geconfigureerd zoals hieronder wordt weergegeven, zodat uw organisatie voldoet aan de NIST-richtlijnen voor wachtwoorden.
- Stel het maximale aantal keren in dat gebruikers kunnen falen bij identiteitsverificatie, waarna ze automatisch worden geblokkeerd.
- Beperk het aantal keren dat gebruikers hun wachtwoord opnieuw kunnen instellen via selfservice.
- Kopieer en plakacties in wachtwoordvelden toestaan of voorkomen.
- Dwing AD-instellingen voor wachtwoordgeschiedenis af tijdens het opnieuw instellen van wachtwoorden om de herhaling van wachtwoorden te beperken.
- Schakel de Password Strength Analyzer in om gebruikers te helpen bij het maken van wachtwoorden door de sterkte van het wachtwoord weer te geven.
- Zorg voor CAPTCHA codecontrole bij aanmeldingen van gebruikers voor extra beveiliging.
-
1
Schakel de Password Strength Analyzer in om gebruikers te helpen bij het maken van wachtwoorden door de sterkte van het wachtwoord weer te geven.
2Dwing AD-instellingen voor wachtwoordgeschiedenis af tijdens het opnieuw instellen van wachtwoorden om de herhaling van wachtwoorden te beperken.
Schakel de Password Strength Analyzer in om gebruikers te helpen bij het maken van wachtwoorden door de sterkte van het wachtwoord weer te geven.
Dwing AD-instellingen voor wachtwoordgeschiedenis af tijdens het opnieuw instellen van wachtwoorden om de herhaling van wachtwoorden te beperken. -
1
Zorg voor CAPTCHA codecontrole bij aanmeldingen van gebruikers voor extra beveiliging.
Zorg voor CAPTCHA codecontrole bij aanmeldingen van gebruikers voor extra beveiliging.
-
1
Stel het maximale aantal keren in dat gebruikers kunnen falen bij identiteitsverificatie, waarna ze automatisch worden geblokkeerd.
2Beperk het aantal keren dat gebruikers hun wachtwoord opnieuw kunnen instellen via selfservice.
Stel het maximale aantal keren in dat gebruikers kunnen falen bij identiteitsverificatie, waarna ze automatisch worden geblokkeerd.
Beperk het aantal keren dat gebruikers hun wachtwoord opnieuw kunnen instellen via selfservice.
MFA
ADSelfService Plus biedt MFA voor zowel cloudgebaseerde toepassingen als toepassingen op locatie en eindpunten. Het zorgt ervoor dat u minder last hebt van aanvallen op uw systeem en beschermt uw bedrijf door een hoger niveau van identiteitsbeveiliging te eisen.
Redenen waarom uw organisatie MFA-ondersteuning van ADSelfService Plus nodig heeft:
- Verifieert gebruikers met adaptieve MFA-technieken, afgezien van hun standaard gebruikersnaam en wachtwoord
- Biedt 20 verschillende authenticatoren om uit te kiezen, waaronder biometrie, FIDO-wachtwoorden, Duo Security, TOTP's, YubiKey en smartcards
- Maakt de configuratie van werkstromen mogelijk om authenticatoren aan te passen voor gebruikers van verschillende OE's, domeinen of groepen
- Beveiligt zowel lokale als externe aanmeldingspogingen op servers en werkstations
- Pakt alle cyberaanvallen op basis van referenties aan, waaronder phishing, brute-force, password spray en woordenlijstaanvallen
- Helpt uw organisatie te voldoen aan de AVG, PCI DSS en HIPAA mandaten voor naleving, in aanvulling op NIST SP 800-63B
-
1
Beveilig gebruikerstoegang tot alle eindpunten in uw netwerk, zoals machines, VPN's, OWA's en applicaties, met behulp van MFA.
Beveilig gebruikerstoegang tot alle eindpunten in uw netwerk, zoals machines, VPN's, OWA's en applicaties, met behulp van MFA.
-
1
Kies het aantal en type MFA-methoden waarmee uw gebruikers zich moeten verifiëren om toegang te krijgen tot resources.
Kies het aantal en type MFA-methoden waarmee uw gebruikers zich moeten verifiëren om toegang te krijgen tot resources.
-
1
Kies uit 20 verschillende authenticatoren om de identiteit van uw gebruikers te verifiëren.
1Stel verschillende MFA-stromen in voor verschillende groepen of afdelingen in uw organisatie.
Kies uit 20 verschillende authenticatoren om de identiteit van uw gebruikers te verifiëren.
Stel verschillende MFA-stromen in voor verschillende groepen of afdelingen in uw organisatie.
Voordelen van het gebruik van ADSelfService Plus voor naleving van de NIST vereisten
- Verfijnde flexibiliteit
Pas wachtwoordbeleid aan voor verschillende gebruikersrollen binnen de organisatie op basis van hun toegangsniveaus tot gevoelige gegevens.
- Integratie met Have I Been Pwned?
Integreer met Have I Been Pwned?, een database met gehackte wachtwoorden en zorg ervoor dat uw gebruikers geen zwakke of gecompromitteerde wachtwoorden kiezen tijdens het opnieuw instellen en wijzigen van wachtwoorden.
- Beleid voor voorwaardelijke toegang
Versterk automatisch MFA-methoden voor verdachte toegangsverzoeken met behulp van Beleid voor voorwaardelijke toegang op basis van het IP-adres, de locatie en het tijdstip van toegang van een gebruiker.
- Naleving van andere regelgevingen
Zorg ervoor dat uw organisatie voldoet aan PCI DSS, HIPAA, Essential Eight, en CJIS, SOX, en AVG standaarden.
Verbeter de cyberverdediging van uw bedrijf met ADSelfService Plus, een totaaloplossing die je werknemers helpt best practices voor wachtwoorden toe te passen.
Hoogtepunten van ADSelfService Plus
Selfservice voor wachtwoorden
Ontlast Windows AD gebruikers van lange helpdeskgesprekken door hen te voorzien van selfservice voor het opnieuw instellen van wachtwoorden en het ontgrendelen van accounts.
Meervoudige authenticatie
Schakel context-gebaseerde meervoudige authenticatie in met 20 verschillende authenticatiefactoren voor inloggen bij eindpunten en toepassingen.
Eén identiteit met eenmalige aanmelding
Krijg met één klik naadloze toegang tot 100+ cloudtoepassingen. Met single sign on voor bedrijven (SSO) hebben gebruikers toegang tot al hun cloud applicaties met behulp van hun Windows AD referenties.
Meldingen over verlopen van wachtwoord en account
Stel Windows AD-gebruikers op de hoogte van de naderende vervaldatum van hun wachtwoord en account via e-mail en sms-meldingen.
Wachtwoordsynchronisatie
Synchroniseer automatisch wijzigingen in het wachtwoord en account van Windows Active Directory-gebruikers op meerdere systemen, waaronder Office 365, Google Workspace, IBM iSeries en meer.
Handhaver van wachtwoordbeleid
Sterke wachtwoorden zijn bestand tegen verschillende hackdreigingen. Dwing Windows AD-gebruikers af om zich te houden aan compatibele wachtwoorden door vereisten voor wachtwoordcomplexiteit weer te geven.
