Все слышали о важности использования надёжных паролей. Особенно в корпоративном секторе, где взлом пароля может привести не только к потере важной информации, но и к серьёзным финансовым потерям, а также удару по репутации компании. Несмотря на это, статистика по инцидентам, связанным с утечками учетных записей, огорчает. В 2023 почти половине случаев (48%) известных утечек учетная запись упоминалась вместе с паролем. Тот факт, что у большинства компаний есть публично доступные административные панели авторизации, усугубляет ситуацию еще больше. Возможно стоит разобраться подробнее в этом посте, что такое парольная политика в организации и как нам может помочь.
Для начала рассмотрим проблемы, с которыми чаще всего сталкиваемся, когда вспоминаем про инциденты связанные с ненадёжными паролями.
Использование простых паролей: Сотрудники часто используют простые пароли, которые легко подобрать обычным перебором.
Использование корпоративных паролей на других ресурсах: Сотрудники часто используют свой корпоративный пароль и почту для регистрации на других интернет ресурсах. В таком случае утечка пары почта/пароль однозначно приведёт к серьёзным последствиям. И даже сложность пароля тут никак не поможет.
Одинаковые пароли для разных систем: Это особенно опасно, так как злоумышленники могут легко получить доступ к нескольким системам, используя один скомпрометированный пароль.
Отсутствие регулярной смены паролей: Рекомендуется менять пароль не реже 90 дней. Иначе утёкший пароль может достаточно долго использоваться злоумышленниками.
Отсутствует управление доступами: Для выдачи доступа новым сотрудникам и отзыв прав у уволенных сотрудников нет организованного процесса связанного с бизнес-процессами HR-отдела. Это может привести к тому, что бывшие сотрудники сохраняют доступ к корпоративным системам.
Отсутствие контроля смены паролей: Нет четкого контроля над тем, кто и когда меняет пароли. Это может привести к ситуациям, когда администраторы не могут точно определить, кто изменил пароль и когда это произошло, что усложняет управление доступами и повышает риск несанкционированного доступа
Мне кажется, этих пунктов хватает, что бы согласиться с тем, что пароли являются ключевым элементом в обеспечения информационной безопасности любой компании, а значит требует управления с четкими правилами и требованиями.
Парольная политика в организации — это не просто набор правил для создания сложных паролей. Это комплексная стратегия, направленная на повышение уровня информационной безопасности через контроль и управление учетными записями. Правильно разработанная и последовательно применяемая парольная политика помогает предотвратить несанкционированный доступ к корпоративным ресурсам, защищая тем самым конфиденциальные данные компании от утечек и взлома.
По сути парольная политика помогает решить вышеописанные проблемы. Для этого достаточно будет сделать следующие шаги:
Минимальная длина пароля: Ввести правило для паролей на минимальную длину 8 символов, включающих комбинацию заглавных и строчных букв, цифр и специальных символов. Рекомендуется использовать фразы-пароли (например, "3Электрика!Варят#Борщевик") включающие выше описанные требования. Их сложнее взломать и легче запомнить, чем короткие и сложные пароли. Проверку соответствия правилам нужно делать на этапе создания пароля.
Запрещенные пароли: Включить в политику список запрещенных паролей (например использование в пароле названия организации или фамилию).
Запрет на повторное использование старых паролей: Это поможет минимизировать риск компрометации учетных записей.
Разные пароли для разных систем: Особенно, если дело касается привилегированных учётных записей.
Регулярная смена паролей: Ввести требование по регулярной смене паролей, особенно для важных учетных записей. Рекомендуется менять хотя бы раз в 90 дней.
Второй фактор авторизации: Там, где невозможно усложнить пароль можно ввести второй фактор для авторизации пользователей.
Мониторинг смены паролей: Ввести процесс мониторинга смены паролей и авторизации пользователей.
Связь с HR: Связать процесс создания и блокировки учётных записей с процессом HR-отдела.
Конечно не все так просто и обязательно найдутся силы сопротивляющиеся введению парольной политики. Например запоминание и придумывание множества сложных паролей может быть затруднительным для сотрудников, что часто приводит к использованию небезопасных практик, таких как записывание паролей на бумаге или использование одного пароля для всех учетных записей. В таком случае нужно помочь им соответствующим обучением, взять на себя генерацию пароля или специальными программными средствами вроде корпоративных парольных менеджеров или двухфакторной аутентификации.
Есть у меня знакомая компания в которой пользователи в силу возраста или других факторов были не в состоянии запомнить пароли длиннее 4 символов. В результате генерируют нагрузку на техподдержку. Нашли выход из ситуации оставив им 4-значный пароль, но добавив второй фактор для авторизации. Этот пример показывает, что всегда можно найти компромисс.
При увеличении количества пользователей, используемых приложений и сервисов становится сложнее управлять всеми паролями, поэтому без специализированных инструментов для управления не обойтись. Поддерживать политику сильных паролей можно штатными средствами вроде Group Policy Management Console (GPMC) и Active Directory Administrative Center (DSAC) в случае с инфраструктурой Microsoft или штатными средствами Linux, например PAM (Pluggable Authentication Modules) и файл /etc/login.defs. Так же для упрощения работы с парольными политиками и удобства контроля есть много готовых платных решений. Такие решения дают большую гибкость управления и контроля над политиками паролей. Вот некоторые из них:
Strongpass - для усиления и контроля парольной политики. Помогает администраторам автоматически применять установленные правила и проверять пароли на соответствие требованиям безопасности.
Мультифактор - для введения второго фактора авторизации доступа к корпоративным ресурсом. Добавляет дополнительный уровень безопасности, требуя от пользователей подтверждения своей личности с помощью нескольких факторов, таких как пароль и одноразовый код или биометрические данные
Passwork - Менеджер паролей помогает пользователям создавать, хранить и управлять сложными паролями. Они также могут генерировать уникальные пароли и синхронизировать их на всех устройствах пользователя и при этом хранилище паролей будет локальным под контролем компании.
В заключение
Использование парольных политик в организации является критически важным для защиты данных и систем от кибератак. Сильные пароли, регулярное их обновление, предотвращение повторного использования паролей и использование многофакторной аутентификации помогают значительно снизить риск утечек данных и несанкционированного доступа. Внедрение и соблюдение этих политик способствует улучшению общей безопасности и защите конфиденциальной информации компании.
Комментарии (13)
StjarnornasFred
10.06.2024 14:35+8Регулярная смена паролей: Ввести требование по регулярной смене паролей, особенно для важных учетных записей. Рекомендуется менять хотя бы раз в 90 дней
Не дай бог. В конторе, где я работаю, такая политика насаждена ДИТом - и сотрудники массово плюются от того, что каждые 3 месяца приходится менять пароль. Естественно, ни о какой ИБ речи не идёт, потому что все пароли тут же записываются на бумажку и в лучшем случае прячутся под клавиатуру, в худшем - наклеиваются скотчем прямо на монитор. Как вариант - ставится пароль вида OrganisationnameN, где N:=N+1 каждый раз.
maclaudstein
10.06.2024 14:35Боюсь, тут есть некоторые знания, которые вы не учитываете, которые открывают глаза именно на 90 дней. У вас есть учетка. Вы ей пользуетесь, у нее есть некоторые права. Есть Любка, при вашем увольнении она должна деактивировать учетку, но она этого не делает. Итого за 90 дней в случае утечки вашей учетки вовне можно походить по сервисам, найти доступы куда попало, влезть в систему. Учетки не утекают моментально, но утекают, и как следствие, важно, чтобы время, сколько с этой учеткой будут работать всякие буки, было минимально, но при этом не совсем напрягать пользователя, то есть не каждую неделю, не каждый месяц, а все же раз в 3 мес.
Если вы думаете, что я описываю какой-то редкий кейс, то нифига подобного. Это 95 процентов всех взломов инфры - изнутри, зашел-вышел, делов на 5 минут (с). А потери компании будут огромные, вон, СДЭКовские бд и бэкапы зашифровали, как думаете, как? А легко, зашли с учетки, положили вирусню, распространили по системе. У нас в орге ломают сеть как? Учетки утекли, попали в защищенный сегмент сети, пробуют положить базы. Инфра не спит ночами, отбивается, думаете, оно им надо?))) Так что лучше смириться с 90 днями, чем с потерями (иногда в миллиард рублей и больше) просто по вине утекшей учетки, которая не обрубится сама
Batalmv
10.06.2024 14:35+5Регулярная смена паролей - это только усугубляет, так как надо запоминать и все такое. Многие куда-то запишут и все
То, что реально работает, это
"второй фактор" упомянут в конце и вскользь
SSO: и нет много паролей
В целом, статья скорее вредная, чем полезная, так как куда безопаснее смотреть на ситуацию в комплексе и помнить, что самое уязвимое - это человек. Но не потому, что он "редиска", а потому что чем неудобнее ему сделать, тем менее охотно он будет следовать политикам
TerraV
10.06.2024 14:35+3Некомпетентность с большой буквы "Н", как и ожидалось от руководителя направления ИБ (я сбшник, я так вижу). Какая нахрен связь с HR, как они вообще здесь оказались?! Где упоминание что безопасность стоит на трех китах - "что я знаю" (пароль), "кто я" (биометрия) и "что я имею" (устройство). Их комбинация 2FA (или 3FA в случае паранойи) позволяют говорить о какой-либо безопасности. А не вот эти вот все "3Электрика!Варят#Борщевик".
Kahelman
10.06.2024 14:35+1Согласен с предыдущим оратором, очередная полешка чатаГПТ а не статья.
Уже сколько раз публиковали рекомендации которые NSA разрабатывает для американского правительства. Регулярная смена паролем не рекомендуется, так как пользователи либо используют легате паттерны (меняя последнюю цифру) либо используют более простые пароли.
У меня из-за придурков которые трубно наличия символа пунктуации в пароле половина паролей с «!» Вконце. То что перед этим 16 символов сгенерированных менеджером паролей этим идиотам по барабану, вынь да положь знак пунктуации. И кому легче стало?
evgepet
10.06.2024 14:35По работе приходится использовать один государственный сервис, который позволяет 6-значные пароли, состоящие из строчных букв латинского алфавита с наличием хотя бы одного символа из списка "@#$%^&". Минус, скобки, восклицательный знак и _ не допустимы :)
David_Osipov
Был цикл статей про парольную политику, которой тоже есть куда стремиться, но ваша статья от силы составляет 20% одной статьи из того цикла.