微软的“密码禁令”列表是否不安全地存储用户密码？

Question

根据SecurityWeek，微软禁止使用普通密码。，他们将动态更新他们的列表：

微软表示，它正在动态地禁止来自微软帐户和Azure系统的普通密码。微软( … )每天都会看到超过1,000万个账户遭到攻击，这些数据被用来动态更新禁用密码列表。

此列表是基于其他人帐户的实际密码，还是仅用于野蛮的尝试？

能否建立一个安全的系统，根据其他人的现有密码检查密码更新，如果密码太常见，则拒绝更新？

Answer 1

我们，在微软，是禁止密码最常用的攻击和附近的变体。我们并不是基于我们的用户群体，他们(因为系统)不共享这些密码，除非攻击改变。

攻击清单通常来源于对违规行为的研究。攻击者很聪明，可以查看列表，找出高概率的密码，然后对这些高频单词进行暴力等操作。我们看同样的名单和攻击模式，以确定我们的禁令名单。

希望这能有所帮助。

Answer 2

在决定阻止新用户密码为“太普通”之前检查现有帐户密码的系统实际上是自毁的。您不仅会让用户或攻击者知道密码实际上对某些帐户是有效的，而且对许多帐户也是有效的。具体而言，公共阈值-1。

因此，本文中描述的方法实际上是Microsoft用于禁止Microsoft帐户和Azure AD的常见密码的方法。它结合了已知的公共密码和/或弱密码，通常用于强行访问尝试的密码，以及那些被确定为过于相似的密码的变化。

Answer 3

能否建立一个安全的系统，检查密码更新与其他人的密码，并拒绝他们的密码是太常见的？

有理由不这样做，但如果我的任务是防止密码被过度使用，我将接收密码，哈希，将哈希存储在一个表中，没有连接到任何用户，甚至没有文本用于创建哈希，或更新计数，如果它已经存在。如果计数超过某个限制，建议用户选择另一个密码。给出一个可接受的密码后，对其进行盐分，并为用户存储盐渍散列。

因此，您不是直接检查其他用户的密码，而是检查其他用户的未加盐散列。