微软强化服务安全，将全面封锁使用简易密码

微软于上周宣布，将全面封锁Azure AD及Microsoft Account用户使用简易密码，一旦察觉用户设定了过于简单的密码，将立即要求重设。

微软身份部门专案管理总监Alex Simons表示，预防账号被入侵最重要的事情就是选择一个独特、难以被猜测的密码，当市场上出现大规模的资料外泄事件时，骇客与Azure AD身份保护团队都会采取同样的行动—分析这些外泄资料中最常用的密码。

骇客用这些外泄凭证来建立可破解密码的彩虹表（rainbow table），或是以最受欢迎的密码来执行暴力破解，微软则是以同样的资料来避免使用者采用太容易遭到破解的密码。

目前使用者在设定网络服务的密码时，通常会面临某些要求，包括密码长度、密码复杂度，以及密码的时效性，然而，Simons认为在上述政策下，人们的行为反而更容易预测。因此，微软祭出了两道防线，分别是动态封锁通用密码（Dynamically banning common passwords）以及智能密码锁定（Smart password lockout）。

其中，动态封锁通用密码在使用者设定密码时即展开运作，一旦侦测到使用者设定了太过常用的密码，即会要求重设。目前该功能已部署于Microsoft Account，在Azure AD也已进入预览阶段，预计未来几个月即会推动到上千万的所有Azure AD租户上。微软将会定期更新简易密码列表，以杜绝用户采用常见密码。

至于智能密码锁定则是在多次输入错误密码之后，系统即会锁住该账号。

Azure AD的全名为Azure Active Directory是微软的多租用户云端型目录与身份识别管理服务，提供微软SaaS服务的单一登入功能，Microsoft Account则是一般用户的账户，涵盖Outlook、Skype、Xbox及OneDrive等。

根据密码管理程式供应商SplashData所公布的2015年常用密码列表，前十大最常用密码依序是123456、password、12345678、qwerty、12345、123456789、football、1234、1234567及baseball。微软可望封锁相关密码，以确保用户账户安全，可以想见的是，未来要设定自己不会忘记的密码也愈来愈难了。