אכיפה ומעקב אחרי עמידה בדרישות לגבי סיסמאות של המשתמשים

הדף הזה מיועד לאדמינים שמנהלים חשבונות של משתמשים אחרים בארגון. כדי לאפס את הסיסמה לחשבון שלכם, לחצו כאן.

אדמינים יכולים לאכוף דרישות לגבי סיסמאות כדי להגן על חשבונות Google מנוהלים של המשתמשים ולעמוד בכללים של הארגון. האדמינים גם יכולים לעקוב אחרי חוזק הסיסמאות של המשתמשים כדי לאתר סיסמאות חלשות.

אם משתמשים ב-SSO…

אם יש למשתמשים שלכם אפשרות של כניסה יחידה (SSO), אתם צריכים:

  1. להשבית את האכיפה של הסיסמאות.
  2. לוודא שחשבונות המשתמשים לא מוגדרים לדרוש שינוי סיסמה בכניסה הבאה.

קיימת בעיה ידועה שבה המדיניות בנושא סיסמאות נאכפת לגבי משתמשים שמבצעים אימות דרך ספק זהות (IdP) של צד שלישי ופרופילים של SSO. השביתו את אכיפת הסיסמאות כדי להימנע מהבעיה הזו. אם המשתמשים שלכם מקבלים בקשה חד-פעמית לאפס את הסיסמה שלהם ל-Google, זה לא משפיע על השימוש שלהם ב-SSO, על אופן הכניסה שלהם לחשבון או על הסיסמה שמשמשת ל-SSO.

הגנה על חשבונות המשתמשים

  • דרישה לסיסמה חזקה – אתם יכולים לחייב משתמשים לשנות את הסיסמאות שלהם אם הן חלשות. אפשר גם לדרוש שהסיסמאות יכילו מספר מסוים של תווים.
  • מניעת שימוש חוזר בסיסמאות ישנות.
  • הסבר לגבי החשיבות של סיסמאות חזקות – כדי לעזור למשתמשים ליצור סיסמאות חזקות, כדאי לשתף איתם את הטיפים האלה.

לפני שמתחילים

מתי המדיניות בנושא סיסמאות לא חלה

  • ‫Google לא יכולה לאכוף דרישות לגבי חוזק ואורך של סיסמאות שהוגדרו באמצעות שיטת גיבוב (hash). לדוגמה, סיסמאות שנוצרו באמצעות הכלי להעלאה בכמות גדולה של משתמשים, ה-Directory API או כלי סנכרון כמו "סנכרון סיסמאות" או Google Cloud Directory Sync. פרטים נוספים מופיעים ב-Google Workspace Admin SDK או במאמר על "סנכרון סיסמאות".
  • הדרישות לגבי חוזק ואורך של סיסמאות לא חלות על סיסמאות של משתמשים שאתם מאפסים באופן ידני. אם אתם מאפסים סיסמה באופן ידני, הקפידו לסמן את התיבה לצד המשתמש יתבקש לשנות את הסיסמה בזמן הכניסה לגבי המשתמש הרלוונטי.
  • המדיניות שאתם מגדירים בנושא סיסמאות לא חלה כשהמשתמשים מבצעים אימות דרך ספק זהויות (IdP) של צד שלישי באמצעות OIDC.

הערה: מדיניות בנושא סיסמאות נאכפת כרגע אם אתם משתמשים בספק זהויות שמתבסס על SAML. פרטים נוספים מופיעים בקטע אם משתמשים ב-SSO (למעלה בדף הזה).

מה הופך סיסמה לחזקה

אם אתם מחייבים להשתמש בסיסמאות חזקות, Google משתמשת באלגוריתם לדירוג חוזק הסיסמה כדי לוודא:

  • שיש לסיסמה רמה גבוהה של אקראיות, שנקראת אנטורפיית סיסמה. כדי להגיע לרמה כזו, הסיסמה צריכה להיות מחרוזת ארוכה של תווים מסוגים שונים, כמו אותיות גדולות וקטנות, מספרים ותווים מיוחדים.

    הערה: סיסמה חזקה לא חייבת לכלול מספר ספציפי של תווים מסוג מסוים.

  • שלא מדובר בסיסמה חלשה ונפוצה, כמו "123456" או "password123".
  • שקשה לנחש את הסיסמה. כלומר, היא לא מורכבת ממילים או מביטויים פשוטים, ולא כוללת חלקים משם המשתמש.
  • שהסיסמה לא נפרצה. כלומר, היא לא מופיעה במסד נתונים של חשבונות שנפרצו.

מידע על תפוגת התוקף של סיסמאות

כברירת מחדל, אין לסיסמאות מועד תפוגה. מחקרים הראו שלתפוגת תוקף של סיסמאות יש רק השפעה חיובית מועטה על האבטחה. אתם יכולים להגדיר שתוקף הסיסמאות של המשתמשים יפוג אחרי מספר מסוים של ימים (למשל 90 או 180 ימים) אם יש בכך צורך כדי לעמוד בכללים כלשהם.

מדיניות תפוגת התוקף של הסיסמאות תיאכף רק בכניסות לאפליקציות דרך הדפדפן. היא לא תיאכף לגבי משתמשים שנכנסים לאפליקציות רק דרך הטלפונים שלהם או מתחברים דרך אפליקציות שאומתו באמצעות OAuth.

התראות לגבי סיסמאות

אם תגדירו פרק זמן לתפוגת התוקף של הסיסמאות, המשתמשים יקבלו התראות קופצות (אבל לא תזכורות באימייל) בשירותי Google, כמו Gmail והיומן, 30 ימים לפני תאריך התפוגה. המשתמשים יוכלו לשנות את הסיסמה שלהם או לסגור את ההתראה. אם משתמש כלשהו לא ישנה את הסיסמה, ההתראה תופיע בפעם הבאה שהוא ייכנס לחשבון. היא תפסיק להופיע אחרי שהמשתמש יסגור אותה 3 פעמים. עם זאת, אחרי שתוקף הסיסמה יפוג, המשתמש יצטרך לשנות את הסיסמה בפעם הבאה שהוא ייכנס לחשבון.

מתי משתמשים צריכים לשנות את הסיסמה

כשתגדירו בפעם הראשונה מדיניות לגבי תוקף של סיסמאות, יכול להיות שחלק מהמשתמשים יתבקשו לשנות את הסיסמאות שלהם מיד. לדוגמה:

  • אם בחרתם להגדיר מדיניות תפוגה של 90 ימים, ומשתמש שינה את הסיסמה שלו לפני 100 ימים, תוקף הסיסמה שלו יפוג ברגע שתגדירו את המדיניות. בפעם הבאה שהוא ינסה להיכנס לחשבון, הוא יתבקש לשנות את הסיסמה.
  • אם תגדירו מדיניות תפוגה של 90 ימים, ומשתמש שינה את הסיסמה שלו לפני 30 ימים, תוקף הסיסמה שלו לא יפוג. אחרי 60 ימים, המשתמש הזה יתבקש להחליף את הסיסמה בפעם הבאה שהוא ייכנס לחשבון.

הגדרה של דרישות לגבי סיסמאות

לפני שמתחילים: חשוב לעיין במידע שבקטע אם משתמשים ב-SSO (למעלה בדף הזה).

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז אימות ואז ניהול סיסמאות.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. בצד ימין, בוחרים את היחידה הארגונית שרוצים להגדיר בה את המדיניות בנושא סיסמאות.

    אם רוצים להגדיר את המדיניות לכל המשתמשים, בוחרים את היחידה הארגונית שברמה העליונה. ניתן גם לבחור ארגון אחר כדי לקבוע הגדרות למשתמשים ששייכים אליו. כברירת מחדל, ארגון יורש את ההגדרות של הארגון הראשי שלו.

  3. בקטע חוזק, מסמנים את התיבה לצד אכיפת דרישה ליצירת סיסמה חזקה.

    מידע נוסף על סיסמאות חזקות

  4. בקטע אורך, מציינים אורך מינימלי ומקסימלי לסיסמאות של המשתמשים. הסיסמה יכולה לכלול בין 8 ל-100 תווים.

  5. (אופציונלי) כדי לחייב משתמשים לשנות את הסיסמה, מסמנים את התיבה לצד בכניסה הבאה יש לאכוף את המדיניות בנושא סיסמאות.

    אם לא מסמנים את האפשרות הזו, משתמשים עם סיסמאות חלשות יוכלו להמשיך לגשת לשירותי Google של הארגון גם בלי לשנות את הסיסמאות.

  6. (אופציונלי) כדי לאפשר למשתמשים לעשות שימוש חוזר בסיסמה ישנה, מסמנים את התיבה לצד אפשר לעשות שימוש חוזר בסיסמאות.

    אתם לא יכולים להגדיר את היסטוריית הסיסמאות ש-Google בודקת כדי למנוע שימוש חוזר.

  7. בקטע תפוגה, בוחרים את פרק הזמן שאחריו תוקף הסיסמאות יפוג.

    הערה: אם משתמש נוסף מקבל גישה לחשבון כלשהו, הוא יוכל להמשיך לגשת אליו גם אם תוקף הסיסמה של החשבון יפוג. כדי למנוע מצב כזה, אתם צריכים לאפס את הסיסמה לחשבון או להסיר את המשתמש שהענקתם לו גישה.

  8. כדי שההגדרה תישאר כמו שהיא גם כשההגדרה הראשית משתנה, לוחצים על שינוי מברירת המחדל.

  9. אם הסטטוס של היחידה הארגונית הוא כבר בוטלה, בוחרים אחת מהאפשרויות האלה:

    • קבלה בירושה: חזרה לערך של ההגדרה הראשית
    • שמירה: שמירת ההגדרה החדשה (גם אם ההגדרה הראשית משתנה)

  10. נותנים למשתמשים טיפים ליצירת סיסמה חזקה.

מעקב אחרי חוזק הסיסמאות של המשתמשים

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח ואז דוחות משתמשים ואז חשבונות.

    כדי לעשות את זה נדרשת הרשאת אדמין לדוחות.

  2. (אופציונלי) כדי לראות את המידע על חוזק הסיסמה בצורת תרשים, עוברים אל דוחות ואז דוחות של אפליקציות ואז חשבונות. מידע נוסף על הדוחות של החשבון