Считаете, что пароли скоро канут в Лету? Как бы не так! Да, хороший пароль зачастую трудно произнести, его сложно запомнить, а как только вы все-таки смогли его запомнить, вас заставляют его снова изменить... И знаете что? Новый пароль, который вы придумали с таким трудом, можно легко угадать и взломать.
Никто не любит пароли, но от них мы пока никуда не можем деться. И хотя были попытки заменить пароли биометрическими данными, такими технологиями как сканирование отпечатков пальцев или лица, эти технологии не показали себя идеальными, поэтому многие возвращаются к старому доброму (хотя и раздражающему) паролю.
Трудно припомнить конференцию, где я бы не слышал, как кто-то делится своими предполагаемыми “хорошими” советами по политике паролей. Вы знаете, о чем я говорю. Обычная политика паролей предписывает следующее:
- минимальная длина пароля должна быть от 8 до 12 символов, лучше использовать длинные парольные фразы;
- пароль должен быть сложным, что означает, что он содержит по крайней мере три различных набора символов (например, прописные символы, строчные символы, цифры или символы);
- должна быть ротация паролей – смена паролей каждые 90 дней или чаще;
- учетные записи блокируются при вводе неверного пароля 5 раз или меньше.
Эти советы продолжают повторять некоторые из ведущих экспертов.
Но эти советы в лучшем случае неполны, а в худшем - совершенно неверны! Почему? Потому что это устаревшие, неполные советы по кибербезопасности, которые в действительно не были хороши изначально.
Не верите мне? Ну, есть данные, подтверждающие мою позицию. Пользователи и компании, которые следуют устаревшим советам по безопасности паролей, вероятно, увеличивают свой риск безопасности компьютера, а не уменьшают его. Они больше сосредоточены на соблюдении устаревших нормативных требований, чем на принципах безопасности паролей, которые действительно работают.
В 2018 году Verizon сообщила в своем ежегодном отчете о расследовании нарушений данных (DBIR), что 81% нарушений, связанных со взломом данных, происходят из-за украденных или слабых паролей. Компании должны признать, что надежная политика паролей является лучшей линией защиты от несанкционированного доступа к их критической инфраструктуре, по крайней мере на данный момент. Итак, в этом блоге, я собираюсь обсудить некоторые политики паролей и лучшие практики, вопрос о внедрении которых должна рассмотреть каждая организация.
Во-первых, я хочу предоставить вам некоторые статистические данные из отчета 2019 State of Password and Authentication Security Behaviors, в котором собраны результаты опроса 1761 ИТ-специалистов и ИТ-инженеров по безопасности:
- 69% делятся паролями с коллегами для доступа к учетным записям
- 51% повторно используют пароли в своих деловых и личных аккаунтах
- 57% испытавших фишинговую атаку не изменили свой пароль
- 67% не используют какую-либо форму двухфакторной аутентификации в своей личной жизни, а 55% не используют ее на работе
- 57% выразили предпочтение методу входа в систему, который не предполагает использование паролей
Основной риск с этими вышеописанными ситуациями - кража пароля. Наиболее общие методы для взлома паролей включают в себя:
Атаки по словарю: атаки по словарю основаны на программном обеспечении, которое автоматически вбивает общие слова в поля пароля.
Взлом контрольных вопросов: многие люди используют имена супругов, детей, других родственников или домашних животных в секретных вопросах или в качестве самих паролей. Эти типы ответов могут быть выведены путем небольшого исследования личности жертвы и часто могут быть найдены в профиле в социальных сетях.
Отгадывание простых паролей: самый популярный пароль 123456. Следующий по популярности пароль был 12345. Другими распространенными вариантами являются 111111, princess, qwerty и abc123.
Повторное использование паролей на нескольких сайтах: когда одно нарушение данных компрометирует пароли, эта же информация для авторизации часто может использоваться для взлома других учетных записей пользователей. Повторное использование паролей для учетных записей электронной почты, интенет-банкинга и социальных сетей может привести к краже личных данных.
Социальная инженерия: социальная инженерия - это акт манипулирования другими людьми для выполнения определенных действий или разглашения конфиденциальной информации, которую можно использовать, чтобы вынудить человека раскрыть свой пароль.
Достаточно только одно подобное нарушение в организации, чтобы скомпроментировать миллионы имен пользователей и паролей.
Большинство пользователей понимают природу рисков безопасности, связанных с легко угадываемыми паролями. Политики паролей - это набор правил, созданных для повышения безопасности паролей путем поощрения пользователей к созданию надежных, безопасных паролей, а затем их правильному хранению и использованию. Теперь давайте более подробно рассмотрим современные политики и рекомендации по парольной защите, которые должны внедряться в каждой организации.
Топ-15 принципов управления паролями
1. Создайте трудную, длинную парольную фразу
Надежные пароли начительно затруднят хакерам взлом систем. Надежные пароли обладают длиной более восьми символов и состоят из букв верхнего и нижнего регистра, цифр и символов.
Национальный институт стандартов и технологий США (NIST) рекомендует создавать длинные пароли, которые легко запомнить и трудно взломать. Согласно специальной публикации 800-63, Руководству по цифровой идентификации, лучшей практикой является создание паролей длиной до 64 символов, включая пробелы.
2. Применяйте шифрование пароля
Шифрование обеспечивает дополнительную защиту паролей, даже если они украдены киберпреступниками. Лучше всего рассматривать сквозное шифрование, которое является необратимым. Таким образом, вы можете защитить пароли при их передаче по сети.
3. Внедрите двухфакторную аутентификацию
Двухфакторная аутентификация быстро стала стандартом для управления доступом к ресурсам компании. В дополнение к традиционным учетным данным, таким как имя пользователя и пароль, пользователи должны подтвердить свою личность с помощью одноразового кода, отправленного на их мобильное устройство или с помощью персонализированного USB-токена. Идея заключается в том, что при двухфакторной (или многофакторной) аутентификации, простого угадывания или взлома пароля недостаточно для злоумышленника, чтобы получить доступ к системе.
4. Добавьте дополнительные методы аутентификации
Применяйте дополнительные методы, не основанные на паролях. Например, в рамках многофакторной аутентификации пользователи могут использовать биометрическую проверку - например, вход в iPhone с помощью отпечатка пальца с Touch ID, или аутентификацию на ПК с Windows 10 с помощью распознавания лиц Windows Hello. Этот метод позволяет системе идентифицировать сотрудников, распознавая их лица, отпечатки пальцев, голоса или радужные оболочки.
5. Проверьте свой пароль
Убедитесь, что ваш пароль надежен, протестировав его с помощью онлайн-инструмента тестирования. Центр безопасности и защиты Microsoft имеет средство тестирования паролей, которое может помочь вам создавать пароли, которые с меньшей вероятностью будут взломаны.
6. Не используйте очевидные слова
Искушенные хакеры имеют программы поиска по десяткам тысяч слов. Избегайте словарных слов, это поможет защитить ваш бизнес от того, чтобы стать жертвой программ словарной атаки.
7. Используйте разные пароли для каждой учетной записи
В противном случае, если одна учетная запись взломана, другие учетные записи с теми же учетными данными могут быть легко скомпрометированы
8. Защитите свой мобильный телефон
Мобильные телефоны в настоящее время обычно используются для ведения бизнеса, оплаты в магазине и многого другого, но это вызывает много проблем с безопасностью. Защитите свой телефон и другие мобильные устройства от хакеров, обеспечив устройство надежным паролем, используйте идентификацию на основе отпечатка пальца или распознавания лица.
9. Избегайте периодических изменений личных паролей
Распространенная практика безопасности на протяжении многих лет заставляет пользователей периодически менять пароли каждые 90 дней или 180 дней и т. д. Однако в более поздних рекомендациях NIST не рекомендуется применять обязательную политику изменения паролей к личным паролям (обратите внимание, что это обновленное руководство не применяется к привилегированным учетным данным). Одна из причин заключается в том, что пользователи, как правило, просто повторяют пароли, которые они использовали раньше. Вы можете применить какие-либо методы предотвращения повторного использования пароля, но пользователи все равно найдут нестандартные способы обойти их. Другим следствием частых изменений паролей является большая вероятность того, что пользователи будут записывают пароли, не в силах запомнить их. Таким образом, лучшая практика от NIST - просить сотрудников изменить пароль только в случае потенциальной угрозы.
10. Меняйте пароли, когда сотрудник покидает ваш бизнес
К сожалению, нередки случаи, когда бывшие, недовольные сотрудники становятся злейшим врагом вашего бизнеса. Сделайте это обычной практикой - меняйте пароли, когда сотрудник уходит, чтобы бывшие сотрудники не могли взломать ваши бизнес-аккунты и внести хаос.
11. Защитите учетные записи привилегированных пользователей
Пароли учетных записей привилегированных пользователей требуют специальной защиты, например с помощью программного обеспечения для управления привилегированным доступом. В отличие от личных паролей, привилегированные учетные данные должны регулярно изменяться, а учетные данные высокозащищенных информационных ресурсов - после каждого использования. Кроме того, эти учетные данные должны быть инъектированы в систему управления привилегированным доступом, никогда не отображаться и быть неизвестным пользователю. Это обеспечит дополнительные меры безопасности.
12. Держите свой бизнес вне Интернета
Не размещайте важную информацию о безопасности компании в общедоступном интернете. Это сделает его легкой добычей для хакеров. Кроме того, отключайте все разрешения в приложениях после окончания работы с ними..
13. Избегайте записи паролей
Избегайте хранения паролей в цифровом виде или на бумаге, так как эта информация может быть украдена злоумышленниками.
14. Будьте бдительны
Независимо от того, насколько сложны ваши пароли и насколько тщательно вы относитесь к безопасности, пароли не будут безопасными, если шпионская программа отслеживает то, что вы вводите на клавиатуре. Усложните это задачу для киберпреступников как можно скорее с помощью современных решений для защиты от вредоносных программ и управления уязвимостями, что позволит укрепить ваши системы для предотвращения и смягчения слабых мест, которые могут позволить злоумышленникам войти и/или перемещаться по вашей среде
15. Используйте менеджеры паролей
Используя менеджер паролей, вам нужно запомнить только один пароль, так как менеджер паролей хранит и даже создает пароли для разных учетных записей, при необходимости автоматически входя в систему.
Смотрите на менеджер паролей, как на книгу ваших паролей, запертую ключом, который известен только вам. Некоторые подумают, что это плохо, потому что если кто-то завладеет этим ключом, то получит ВСЕ пароли. Но если вы выберете надежный и уникальный и при этом легко запоминающийся пароль, то получите практически идеальный способ защиты остальных ваших паролей от несанкционированного доступа.
Менеджеры паролей не только хранят ваши пароли, они помогают генерировать и сохранять надежные и уникальные пароли при регистрации на новых веб-сайтах. Это значит, что при обращении к веб-сайту или приложению вы можете открыть ваш менеджер паролей, скопировать пароль, вставить его в поле авторизации и получить доступ. Часто менеджеры паролей содержат расширения к браузеру, которые автоматически подставляют пароли за вас.
Многие используемые менеджеры паролей могут синхронизироваться между устройствами, применяя шифрование, поэтому ваши пароли доступны вам везде, даже на телефоне.
Менеджеры паролей предназначены для обеспечения доступа ко всем вашим паролям в зашифрованном виде, недоступном для хакеров и вредоносных программ. Они предлагают большое удобство и отличную защиту, гарантируя приватность ваших данных.
В целом, есть два типа менеджеров паролей:
- персональные менеджеры паролей, которые управляют паролями доступа к различным приложениям и услугам индивидуальных пользователей/сотрудников;
- менеджеры паролей от привилегированных учетных записей. Такие специализированные корпоративные решения защищают и управляют привилегированными учетными данными с помощью централизованного корпоративного хранилища паролей. Привилегированные учетные данные являются наиболее защищаемыми секретами, обеспечивающими привилегированный доступ к учетным данным пользователей, приложениям, системам. Они часто идут в связке с системами управления сеансами привилегированного доступа и являются основным компонентом корпоративной платформы управления привилегиями.
Заключительные мысли об улучшении защиты паролей
Как я уже объяснил, пароли со временем практически не изменились, но управление паролями постоянно улучшается. Менеджер паролей является одним из наиболее безопасных решений для защиты аутентификационой информации.
Украденные или слабые пароли представляют собой наиболее частую причину кражи данных, поэтому компаниям следует более внимательно относиться к политикам защиты паролей и управлению паролями. С помощью лучших практик, которыми я поделился в этом блоге, вы можете разработать эффективную политику защиты паролей и обеспечить надежную защиту от неавторизованного доступа.