Практически с середины прошлого столетия люди используют пароли для защиты устройств. Это одна из основ информационной безопасности, которая позволяет самым простым способом защититься от киберпреступников. Много лет ИБ-специалисты ищут новые подходы, чтобы сделать пароли более сложными для взлома.

В некоторых случаях это привело к тому, что обычные пользователи устав постоянно менять пароли, начали задавать простые комбинации. Тогда компании начали вводить парольные политики, направленные на регулирование длины, сложности и оригинальности паролей. Но и тут на пути попался подводный камень – сотрудники стали часто захаживать в гости к сисадмину с просьбой помочь вспомнить заданный пароль.

В этой статье мы расскажем о том, какие подходы бывают в парольной политике, как не свести с ума сотрудников комбинациями из 20-ти символов и, как достичь баланса и безопасности в вопросе авторизации на ресурсах организации.

Подходы и контроль в парольной политике

Парольная политика определяет каким должен быть заданный пароль, чтобы его приняла система. Например, какой минимальной и максимальной длинны он должен быть, из каких символов состоять, а какие запрещены, должны ли быть заглавные буквы и не кириллические символы. Кроме того, рекомендации парольной политики указывают, как часто пароль необходимо обновлять и время простоя сеанса, после истечения которого, пароль придется ввести вновь.

По сути, такой подход дает возможность контроля за соблюдением сотрудников или пользователей правил кибергигиены в части паролей.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Как такового мониторинга паролей быть не может, потому что пользователи сами задают свои пароли и соответственно меняют их. Однако есть инструменты, чтобы заставить пользователей использовать безопасные пароли – большинство современного программного обеспечения имеет настройки парольной политики, которые не дадут, например, использовать пароль без спецсимволов или не менять его месяцами.

Также парольная политика безопасности в некоторых случаях предполагает список запрещенных паролей. Обычно это недавно использованные комбинации, простые слова, даты рождения и другие слабые сочетания.

Андрей Слободчиков

Директор по ИБ в ИТ-компании Proscom

Для превентивного контроля парольной политики существует класс систем по управлению учетными записями: IDM/IAM (Identity Management/Identity and Access Management), которые позволяют централизованно устанавливать требования к содержанию пароля пользователя и выдавать права доступа к конкретному прикладному программному обеспечению.

Парольная политика может ограничивать количество неудачных попыток, а после блокировать вход и требовать подтверждения личности пользователя, например, через почту. Кроме того, опционно может отображаться степень надежности пароля и регулироваться возможность вставки или копирования пароля.

Эффективная парольная политика

Практика показывает, что парольная политика на данный момент во многий компаниях страдает, учитывая количество новостей о взломах с использованием учетных данных. Именно поэтому надежность паролей и правильная парольная политика лежат в основе информационной безопасности всей компании.

Сегодня каждый из нас сталкивается с парольной политикой компаний, используя их ресурсы. Например, в социальных сетях. Чаще всего платформы просят пользователя задать пароль не менее 8 символов, чтобы в нем имелась хотя бы одна заглавная буква, а также цифра. Бывают и другие условия.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Баланс удобства и безопасности решается с помощью разработки грамотной парольной политики. Единого рецепта тут нет, но на самом деле нужно учитывать специфику компании, в которой это делается. Пароли должны быть сложны в угадывании, но просты в запоминании и для этого есть несколько техник, о которых специалисты по ИБ должны рассказать пользователям. Но в любом случае, если проблема с паролями возникает, то это ясный сигнал, что пора задуматься о переходе на двухфакторную аутентификацию.

Чем дальше мы идем по пути развития ИТ-индустрии, тем активнее развивается информационная безопасность, а вместе с ней усложняется парольная политика организаций. И здесь баланс нарушается – длинный пароль в принципе сложно запомнить. Если добавить туда нестандартные символы, задача становится невыносимой. А если его нужно регулярно менять, придумывая ранее не использованную комбинацию, проблема обретает глобальный масштаб.

Поэтому эксперты рекомендуют, формируя парольную политику, ориентироваться не только на максимальное усложнение взлома комбинации, но и на реальность исполнения.

Юрий Кабанов

Менеджер по развитию бизнеса, Отдел информационной безопасности, компания Крайон

Использование частых смен паролей может быть раздражающим для пользователей и приводить к использованию простых, легко запоминающихся паролей. Рекомендуется устанавливать более длинные пароли и требовать изменения только при подозрении на компрометацию.

Рекомендации по разработке парольной политики:

1. Длина и сложность паролей. Установка минимальной длины пароля, к примеру, 8-10 символов, и требовать использования различных типов символов (буквы верхнего и нижнего регистра, цифры, специальные символы). Это повысит сложность паролей и уменьшит вероятность легкого подбора пароля.
2. Введение многофакторной аутентификации. Это повысит безопасность, так как без второго фактора пользователь не сможет войти в систему, а злоумышленнику будет намного сложнее перехватить этот секретный код.
3. Обучение кибергигиене в части создания паролей. Проводить регулярные обучения и информационные кампании для пользователей и/или сотрудников о важности безопасности паролей. Рассказывать о методах создания сильных и уникальных паролей.
4. Использование парольных менеджеров. Инструмент позволяет использовать сложные, длинные пароли без необходимости помнить их.

Сергей Зыбнев

Пентестер Awillix

Single Sign-On (SSO) — это метод авторизации, позволяющий пользователям входить в несколько приложений или систем, проходя процедуру аутентификации только один раз. Несмотря на то, что на первый взгляд может показаться, что SSO упрощает системы безопасности, на практике оно предоставляет ряд преимуществ с точки зрения удобства и безопасности. SSO предоставляет компании не только преимущества в плане удобства для пользователей, но и повышает общую безопасность, сокращая векторы атак и обеспечивая более эффективное управление безопасностью.

Кроме того, эксперты советуют регулярно оценивать и обновлять парольную политику в соответствии с новыми технологиями и угрозами, а также проводить аудиты и проверки на скомпрометированные пароли, чтобы защитить систему от возможных атак.

Чем упростить, усилить или заменить пароли

Многие эксперты сегодня рекомендуют заменить пароли на другие инструменты, либо использовать комбинированный вариант, в котором, из-за нескольких ступеней авторизации, пароль может быть не таким сложным и длинным.

В случае многофакторной аутентификации применяется два и более различных способов авторизации. Например, система даст доступ, если пользователь знает пароль, у него есть токен и он применяет биометрию. При компрометации одного фактора на применяется другой – такой подход дает более надежную защиту.

Людмила Севастьянова

Менеджер по развитию продуктового портфеля Департамента inRights ГК «Солар»

Многие компании, для доступа к своим конфиденциальным ресурсам предпочитают использовать более надежную защиту, чем только парольная аутентификация, не забывая при этом и о повышении пользовательского опыта. Альтернативные методы и средства могут быть использованы как дополнение или полная замена паролей. Это и биометрия, и использование аппаратных или программных токенов, и одноразовые пароли (OTP) направленные через SMS или PUSH-уведомления и другое.

Некоторые эксперты считают, что пароли устаревший вид аутентификации. Microsoft в 2021 году пришла к логическому выводу, что никто не любит пароли, они неудобны и являются одной из самых атакуемых мест в информационных системах.

Андрей Слободчиков

Директор по ИБ в ИТ-компании Proscom

Пароли – это устаревший вид аутентификации, от которого отказываются мировые компании. Даже в небольших компаниях зачастую используется от 5 и выше различных сервисов. Полностью выполнить базовые (минимальные) требования к паролю сотруднику очень сложно или невозможно. Также стоит понимать, что с развитием технологий становится всё проще автоматически подбирать пароли. Например, исследование Hivesystems, проведенное в 2022 году, показывает, сколько времени потребуется злоумышленнику на взлом любого пароля.

Скорее всего полностью от паролей общество не откажется и через много лет, но они могут окончательно уйти на второй план, уступая место биометрии, OTP, PUSH-уведомлениям и SSO. Пароль останется как дополнительная ступень защиты при входе в ту или иную систему.

Выводы

Парольная политика важная, если не фундаментальная часть информационной безопасности компании. Плохой пароль значительно повышает риск взлома инфраструктуры и последующих проблем. Если в организации нет парольной политики и каждый сотрудник может использовать любую, удобную ему комбинацию, то киберпреступники могут легко проникнуть в систему угадав, например, пароль по дате рождения.

Сложные километровые пароли решают проблему, но создают новую – пользователи не справляются и не запоминают, заданные ими ключи. В результате парольная политика становится целой проблемой. Именно поэтому обычные пароли сегодня уступают место многоступенчатой авторизации и другим, более технологичным, безопасным, но в тоже время простым способам.