אכיפה ומעקב אחרי עמידה בדרישות לגבי סיסמאות של המשתמשים

הדף הזה מיועד לאדמינים שמנהלים חשבונות של משתמשים אחרים בארגון. כדי לאפס את הסיסמה לחשבון צריך לעבור לכאן.

אדמינים יכולים לאכוף דרישות לגבי סיסמאות כדי להגן על חשבונות Google מנוהלים של המשתמשים ולעמוד בדרישות התאימות של הארגון. כדי לראות אילו מהסיסמאות של המשתמשים חלשות, אפשר לעקוב אחרי חוזק הסיסמאות שלהם.

חשוב: אם יש לכם פרופיל SSO מדור קודם והוא מופעל בארגון שלכם, המדיניות בנושא סיסמאות לא תחול על המשתמשים שלכם. כדי לאכוף מדיניות בנושא סיסמאות ולוודא שהמשתמשים עומדים בדרישות אבטחה ספציפיות, צריך להשבית את פרופיל ה-SSO מדור קודם ולעבור לפרופילי SSO. פרטים נוספים מופיעים במאמר בנושא מעבר מ-SSO מדור קודם לפרופילי SSO.

הגנה על חשבונות המשתמשים

  • דרישה לסיסמה חזקה – אתם יכולים לחייב משתמשים לשנות את הסיסמאות שלהם אם הן חלשות. אפשר גם לדרוש מספר מסוים של תווים בסיסמאות.
  • מניעת שימוש חוזר בסיסמאות ישנות.
  • העלאת המודעות לגבי החשיבות של סיסמאות חזקות – כדי לעזור למשתמשים ליצור סיסמאות חזקות, כדאי לשתף את הטיפים האלה לגבי סיסמאות.

לפני שמתחילים

מה קורה כשהמדיניות בנושא סיסמאות לא חלה

  • ‫Google לא יכולה לאכוף דרישות לגבי חוזק ואורך של סיסמאות שהוגדרו באמצעות שיטת גיבוב (hash). לדוגמה, סיסמאות שנוצרו באמצעות הכלי להעלאה בכמות גדולה של משתמשים, ה-Directory API או כלי סנכרון כמו "סנכרון סיסמאות" או Google Cloud Directory Sync. פרטים נוספים מופיעים ב-Google Workspace Admin SDK או במאמר בנושא מידע על "סנכרון סיסמאות".
  • הדרישות לגבי חוזק ואורך של סיסמאות לא חלות על סיסמאות של משתמשים שאתם מאפסים באופן ידני. אם אתם מאפסים סיסמה באופן ידני, הקפידו לסמן את התיבה לצד המשתמש יתבקש לשנות את הסיסמה בזמן הכניסה במשתמש הרלוונטי.
  • המדיניות בנושא סיסמאות שאתם מגדירים לא חלה כשהמשתמשים מבצעים אימות דרך ספק זהויות (IdP) של צד שלישי באמצעות SAML או OIDC.

מה הופך סיסמה לחזקה

אם אתם מחייבים להשתמש בסיסמאות חזקות, Google משתמשת באלגוריתם לדירוג חוזק הסיסמה כדי לוודא:

  • שיש לסיסמה רמה גבוהה של רנדומיזציה, שנקראת אנטורפיית סיסמה. כדי להשיג את זה, צריך להשתמש במחרוזת ארוכה של תווים מסוגים שונים, כמו אותיות גדולות וקטנות, מספרים ותווים מיוחדים

    הערה: סיסמה חזקה לא חייבת לכלול מספר ספציפי של תווים מסוג מסוים.

  • שלא מדובר בסיסמה חלשה ונפוצה, כמו "123456" או "password123"
  • שקשה לנחש את הסיסמה. כלומר, היא לא מורכבת ממילים או מביטויים פשוטים, ולא כוללת חלקים משם המשתמש
  • שהסיסמה לא נפרצה. כלומר, היא לא מופיעה במסד נתונים של חשבונות שנפרצו

מידע על תפוגת התוקף של סיסמאות

תוקף הסיסמה מושבת כברירת מחדל כי מחקרים הראו השפעה חיובית מועטה על האבטחה. אם יש סיבות שקשורות לתאימות, אתם יכולים להגדיר שתוקף הסיסמאות של המשתמשים יפוג אחרי מספר מסוים של ימים (למשל 90 או 180 ימים).

התוקף של הסיסמאות נאכף רק בכניסות לאפליקציות שמבוססות על דפדפן. הוא לא נאכף אם המשתמשים נכנסים לאפליקציות רק דרך הטלפונים או מתחברים לאפליקציות שאומתו באמצעות OAuth.

התראות לגבי סיסמאות

אם תגדירו פרק זמן לתפוגת התוקף של הסיסמאות, משתמשים יקבלו התראות קופצות (אבל לא תזכורות באימייל) בשירותי Google, כמו Gmail ויומן, 30 ימים לפני תאריך התפוגה. משתמשים יכולים לשנות את הסיסמה שלהם או לסגור את ההתראה. אם משתמש לא משנה את הסיסמה, ההתראה תופיע בפעם הבאה שהוא ייכנס לחשבון. ההתראה מפסיקה להופיע אחרי שהמשתמש סוגר אותה 3 פעמים. עם זאת, אחרי שתוקף הסיסמה יפוג, המשתמש יצטרך לשנות את הסיסמה בפעם הבאה שהוא ייכנס לחשבון.

מתי משתמשים צריכים לשנות את הסיסמה

כשאתם מגדירים בפעם הראשונה מדיניות לגבי תוקף של סיסמאות, יכול להיות שחלק מהמשתמשים יתבקשו לשנות את הסיסמאות שלהם מיד, בעוד שאחרים לא יצטרכו לשנות את הסיסמאות באותו הרגע. לדוגמה:

  • אם הגדרתם מדיניות תפוגה של 90 ימים, ומשתמש שינה את הסיסמה שלו לפני 100 ימים, תוקף הסיסמה שלו יפוג ברגע שתגדירו את המדיניות. בפעם הבאה שהוא ינסה להיכנס לחשבון, הוא יתבקש לשנות את הסיסמה.
  • אם הגדרתם מדיניות תפוגה של 90 ימים, ומשתמש שינה את הסיסמה שלו לפני 30 ימים, תוקף הסיסמה שלו לא יפוג. אחרי 60 ימים, המשתמש הזה יתבקש להחליף את הסיסמה בפעם הבאה שהוא ייכנס לחשבון.

הגדרה של דרישות לגבי סיסמאות

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהואזאימותואזניהול סיסמאות.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. בצד ימין, בוחרים את היחידה הארגונית שרוצים להגדיר בה את המדיניות בנושא סיסמאות.

    אם רוצים להגדיר לכל המשתמשים, בוחרים את היחידה הארגונית שברמה העליונה. במקרים אחרים, בוחרים ארגון אחר כדי לקבוע הגדרות למשתמשים. בהתחלה, ארגון יורש את ההגדרות של הארגון הראשי שלו.

  3. בקטע חוזק, מסמנים את התיבה לצד אכיפת דרישה ליצירת סיסמה חזקה.

    מידע נוסף על סיסמאות חזקות

  4. בקטע אורך, מקלידים אורך מינימלי ומקסימלי לסיסמאות של המשתמשים. הסיסמה יכולה לכלול בין 8 ל-100 תווים.

  5. (אופציונלי) כדי לחייב משתמשים לשנות את הסיסמה, מסמנים את התיבה לצד בכניסה הבאה יש לאכוף את המדיניות בנושא סיסמאות.

    אם לא מסמנים את האפשרות הזו, משתמשים עם סיסמאות חלשות יוכלו לגשת לשירותי Google של הארגון עד שהם יחליטו לשנות את הסיסמה.

  6. (אופציונלי) כדי לאפשר למשתמשים לעשות שימוש חוזר בסיסמה ישנה, מסמנים את התיבה לצד אפשר לעשות שימוש חוזר בסיסמאות.

    אתם לא יכולים להגדיר את היסטוריית הסיסמאות ש-Google בודקת כדי למנוע שימוש חוזר.

  7. בקטע תפוגה, בוחרים את פרק הזמן שאחריו תוקף הסיסמאות יפוג.

    הערה: אם נוסף משתמש בעל גישה לחשבון, המשתמש הזה יכול לגשת לחשבון גם אם תוקף הסיסמה פג. כדי למנוע גישה, אתם צריכים לאפס את הסיסמה לחשבון או להסיר את המשתמש שהענקתם לו גישה.

  8. כדי שההגדרה תישאר כמו שהיא גם כשההגדרה הראשית משתנה, לוחצים על שינוי מברירת המחדל.

  9. אם הסטטוס של היחידה הארגונית הוא כבר בוטלה, בוחרים אחת מהאפשרויות האלה:

    • קבלה בירושה: חזרה לערך של ההגדרה הראשית
    • שמירה: שמירת ההגדרה החדשה (גם אם ההגדרה הראשית משתנה)

  10. נותנים למשתמשים טיפים ליצירת סיסמה חזקה.

מעקב אחרי חוזק הסיסמאות של המשתמשים

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווחואזדוחות משתמשיםואזחשבונות.

    כדי לעשות את זה נדרשת הרשאת האדמין דוחות.

  2. (אופציונלי) כדי לראות את המידע על חוזק הסיסמה בצורת תרשים, עוברים אל דוחותואזדוחות של אפליקציותואזחשבונות. מידע נוסף על הדוחות של החשבון