Wachtwoordbescherming Controle [CHK-1147]

Reden

Het blokkeren van bekende onveilige wachtwoorden is een belangrijke maatregel om ervoor te zorgen dat medewerkers veilige wachtwoorden kiezen. Microsoft's Password Protection helpt hierbij. Wanneer deze functie is ingeschakeld, wordt elke poging om een wachtwoord te wijzigen dat op de lijst met verboden wachtwoorden staat, geweigerd.

De globale lijst van Microsoft is voornamelijk gericht op Engelstalige wachtwoorden. Veelgebruikte Nederlandse wachtwoorden zoals Zomer2025!, Welkom01! of Amsterdam2026! worden standaard mogelijk niet geblokkeerd. Attic Security bevat een basislijst van veelgebruikte Nederlandse zwakke wachtwoordtermen om dit gat te dichten.

Basislijst verboden wachtwoordtermen die door Attic worden ingesteld

Wanneer de geautomatiseerde fix wordt uitgevoerd, voegt Attic de volgende termen toe aan uw aangepaste lijst met verboden wachtwoorden. Dit zijn exact de termen waarvan de controle verifieert dat ze aanwezig zijn:

• Dagen van de week: maandag, dinsdag, woensdag, donderdag, vrijdag, zaterdag, zondag
• Seizoenen: lente, zomer, herfst, winter
• Maanden: januari, februari, maart, april, juni, juli, augustus, september, oktober, november, december
• Veelgebruikte termen: wachtwoord, welkom, geheim
• Sterrenbeelden: stier, tweelingen, kreeft, leeuw, maagd, weegschaal, schorpioen, boogschutter, steenbok, waterman, vissen
• Grote Nederlandse steden: amsterdam, rotterdam, denhaag, utrecht, eindhoven, groningen, tilburg, almere, breda, nijmegen, arnhem, haarlem, enschede, maastricht
• Nederlandse provincies: drenthe, flevoland, friesland, gelderland, limburg, noordbrabant, noordholland, overijssel, zeeland, zuidholland

Eigen verboden wachtwoordtermen toevoegen

U kunt de lijst uitbreiden met organisatiespecifieke termen — denk aan uw bedrijfsnaam, merknamen, productnamen, straatnamen of de plaats waar uw kantoor gevestigd is. Voeg deze toe in Attic via de configuratievariabele Risky passwords. Wanneer de fix wordt uitgevoerd, combineert Attic uw invoer met de basislijst en schrijft het resultaat weg naar de aangepaste verboden wachtwoordenlijst in Entra.

Specificaties van Microsoft voor aangepaste verboden wachtwoordtermen:

• Elke term moet 4 tot 16 tekens lang zijn
• De lijst ondersteunt maximaal 1000 termen
• Termen zijn hoofdletterongevoelig (Welkom en welkom worden gelijk behandeld)
• Veelvoorkomende tekenvervangingen worden automatisch afgehandeld — u hoeft geen varianten als W3lk0m of Welk@m toe te voegen; Microsoft's fuzzy matching herkent deze op basis van de basisterm
• Termen worden ook als substring geëvalueerd, dus welkom blokkeert ook welkom2025!

Let op: Termen die u handmatig toevoegt worden bij de volgende keer dat de fix uitgevoerd wordt toegevoegd.

Fix

Een geautomatiseerde fix is beschikbaar via Attic. De fix schakelt Password Protection in en voegt alle ontbrekende basistermen toe aan de verboden wachtwoordenlijst. Bestaande verboden wachtwoorden die uw organisatie al heeft geconfigureerd worden behouden — de fix voegt samen in plaats van te overschrijven.

Manuele stappen:

1. Navigeer naar Microsoft Entra Admin Center https://aad.portal.azure.com
2. Klik op Authentication Methods
3. Klik op Password Protection
4. Zet Enforce custom list op Yes
5. Voeg wachtwoorden toe aan de Custom banned password list
6. Zet Enable password protection on Windows Server Active Directory op Yes
7. Zet mode op Enforced
8. Klik op Save

Impact

De controle heeft drie mogelijke uitkomsten:

• Okay: Wachtwoordbescherming is ingeschakeld en alle basistermen zijn aanwezig.
• Warning: Wachtwoordbescherming is niet ingeschakeld.
• Notice: Wachtwoordbescherming is ingeschakeld maar er ontbreken basistermen in de verboden lijst.
• Info: Entra ID P1 of P2 licentie is vereist maar niet beschikbaar.

Als de uitkomst een waarschuwing is, wordt het inschakelen van deze functie sterk aanbevolen.

Meer informatie

Voor meer informatie, zie de Center for Internet Security (CIS) Microsoft 365 Foundations Benchmark.