День смены паролей, офис в городе Энске, реконструкция, цвет

Если эта статья не проделала брешь в пространственно-временном континууме, то на дворе 2018 год, а в большинстве крупных организаций до сих пор меняют пароли каждые 30-90 дней. Тема того, что принудительная постоянная смена паролей лишь снижает секьюрность, но никак ее не повышает, поднималась на Хабре уже много раз (1, 2, 3), но в них, обычно, обсуждались частные случаи, а в комментариях пользователи активно делились опытом, как они защищают свои собственные учетные записи.

То что связка условного KeePass+токен, присыпанная двухфакторной аутентификацией намного надежнее, чем условная смена паролей раз в 30-90 дней, понятно и без объяснений. Но как метко заметил один из комментаторов в прошлых публикациях, зачастую инициатива на подобные «эффективные» меры исходит с самого верха организации, а спорить с генеральным директором без достойных аргументов себе дороже. Поэтому я решил попробовать доступно разложить, откуда растут ноги столь распространенной и одновременно неэффективной практики, какие им существуют альтернативы и с чем они сопряжены. Возможно, после прочтения этой статьи некоторыми руководителями, работать в отдельных компаниях станет немного лучше.

Чем опасна регулярная смена паролей


Пароль сам по себе — средство защиты не слишком стойкое ко взлому. Именно поэтому сейчас на рынке есть многочисленные средства двух или даже трехфакторной аутентификации, различные токены, флешки и прочие ухищрения, которые укрепляют периметр и снижают вероятность взлома и получения доступа к конфиденциальным данным или учетной записи. Одним из пропагандируемых способов «укрепления» этого самого периметра является, якобы, регулярная смена пароля пользователя, которая, по идее, должна уберечь от атаки вследствие слива БД и так далее. Все эти рекомендации упускают, в первую очередь, эффект шаблонизации, который я подробно описывал несколько лет назад.

Если кратко: постоянная принудительная смена паролей приводит к выработке человеком шаблона не только запоминания текущего пароля, но и его генерации, что описали в научной работе исследователи из США еще в 2010 году.

Вместо бесконечного запоминания «стойких паролей с переменным регистром и спецсимволами» пользователи начинают их банально записывать или использовать шаблоны. И приставить к каждому сотруднику надзирателя, который бы проверял уникальность каждого нового пароля невозможно.

Откуда о смене паролей узнают руководители


Если немного помучить поисковик, то можно найти массу публикаций и даже служебных документов на тему информационной безопасности. Некоторые из них пахнут нафталином, другие — чуть более бодрые и рассказывают об опасности «атак изнутри» и социальной инженерии в ходе взлома. Всех их объединяет пункт «периодическая смена пароля», который чаще всего начинается со слов вида «не стоит забывать о таком простом и эффективном способе».

Для того, чтобы не быть голословным, приведу пару примеров того, как в отечественной литературе (в том числе учебной!) и статьях рекомендуют использовать периодическую смену паролей:



Это скриншот из УМК по инфобезу 2008 года издания. В нем авторы признают слабость пароля как средства защиты и призывают обеспечивать информационную безопасность через регулярную принудительную их смену и еще ряд менее бесполезных мероприятий, таких как защищенные каналы передачи данных, к примеру.

Также в сети предлагается масса платных семинаров и тренингов для «менеджеров и руководителей» по обеспечению информационной безопасности предприятия. Если абстрагироваться от IT-сегмента и представить, что инфобезом озаботился директор или владелец предприятия, производящего, например, газосиликатные блоки или другую промышленную продукцию, то скорее всего, информацию он почерпнет как раз из открытых источников или посетит один из «повышающих квалификацию» семинаров.

Я не критикую на корню подобные мероприятия, нет. Конечно, там дается и полезная информация о поведении в сети, ограничении прав доступа, своевременном обновлении систем и администрировании. Возможно, там учат прописывать регламенты и выстраивать простейшие периметры информационной безопасности на базе создания «режима» на объекте. Однако со 100% уверенностью можно констатировать, что нелюбимая нами мантра «заставляйте сотрудников менять пароль раз в 30 дней» звучит на подобных мероприятиях регулярно.

Если задуматься, то можно сделать один простой вывод: ведь подобную политику позволяют проводить средства администрирования Windows. Фактически, регулярная смена паролей в корпоративной сети — это стандарт, созданный много лет назад из лучших побуждений, который продолжает существовать по инерции. Если копнуть чуть глубже, можно увидеть, что регулярную смену паролей широко используют не только для продуктов Microsoft, которые поставляют эту механику «из коробки». Практика смены паролей была успешно экстраполирована на другие продукты, например, на «зоопарк» софта 1C. Фактически, администраторы по всему СНГ уже минимум десятилетие насилуют мозг и себе, и бухгалтерам/продажникам, исполняя наставления руководства по «обеспечению безопасности».

При этом специалистов, которые призывают отказаться от регулярной смены паролей и пропаганды невозможных к запоминанию комбинаций, который год успешно игнорируют. Например, около двух лет назад против постоянной смены сложных паролей выступил глава нового центра национальной кибербезопасности при штаб-квартире Соединенного Королевства Мартин Чиаран. Он раскритиковал практику постоянной смены паролей и советы использовать сложные пароли для разных сервисов, сравнив это с ежемесячным запоминанием 600-значного числа. По мнению Чиарана, намного безопаснее использовать либо менеджер паролей, либо единый сложный для взлома, но возможный к запоминанию пароль.

Возможно ли переубедить руководство?


Путей переубедить руководителя, далекого от современного мира IT в том, что регулярная смена паролей — дикая дичь, не так уж и много.

Стоит понимать, что данная практика получила столь широкую популярность по двум причинам:

  1. Это дает ложное чувство безопасности и закрывает для руководителя вопрос «защищенности» рабочих станций сотрудников.
  2. Это относительно быстро и бесплатно.

Если со всех сторон, в прессе, на семинарах и так далее твердят десятилетиями, что смена пароля — хорошая затея, это отложится в памяти руководителя. Вкупе со вторым пунктом, когда все расходы на разверстку «периметра» в виде смены паролей ограничиваются тем, что нужно лишь озадачить этим системного администратора, который все сделает за один день, все становится вдвойне приятнее и проще.

Ни один руководитель компании средней руки не согласится на закупку токенов или других физических средств защиты рабочих станций, когда есть бесплатная альтернатива в виде принудительной смены паролей. Очевидный сценарий в этом случае один: объяснить несостоятельность подобной практики и предложить альтернативу.

Чем опасна регулярная смена пароля:

  • пароли начинают записывать на бумажках/в ежедневниках/клеить стикеры на монитор;
  • пароли шаблонизируются (меняется несколько символов в начале или конце пароля);
  • пароли слишком сильно упрощаются, даже при наличии минимального ограничения по символам.

Можно почувствовать, что все основные угрозы, создаваемые регулярной сменой пароля относятся к внутреннему нарушению ИБ и периметра, то есть лежат в плоскости социальной инженерии. Удаленный хакер из Нигерии никогда не подсмотрит пароль, который записан на бумажке и спрятан под клавиатуру. А вот случайно зашедший сотрудник конкурента или вредитель из коллектива — запросто.

Единственная реальная альтернатива для обеспечения безопасности внутреннего периметра — использование принципа «одна станция — один человек», оперативное консультирование и поддержка персонала в случае блокировки рабочей станции по таймауту, выстраивание политик доступа внутри самой сети и введение ответственности за разглашение/передачу пароля от учетной записи. Последнее очень красиво вписывается в моду последних лет по любому поводу подписывать с сотрудниками и подрядчиками NDA, так пусть хоть раз это будет оправдано.

Банковский сектор как пример для подражания


Большинство руководителей в вопросах информационной безопасности внутри офиса относятся к работникам, как к собственности компании, то есть им, якобы, не нужна поддержка. Однако если рассмотреть структуру внутреннего периметра по примеру обеспечения безопасности данных в виде «Сервис-Клиент» в банковских структурах, то все становится намного понятнее.

Задумайтесь: пин-код от банковской карты составляет всего 4 символа, однако никто не кричит о том, что он «слишком короткий» и простой для взлома. Банально потому что для пластиковых карт существует ограничение на количество попыток ввода, плюс клиент может оперативно заблокировать свою карту в случае, если он заподозрил утечку данных (скриммер) или потерял карту. И пользователи активно пользуются этими возможностями, потому что заинтересованы в соблюдении мер безопасности и знают, что смогут оперативно выполнить данные операции.

То есть, если ваше руководство озаботилось созданием внутреннего регламента и обеспечением реальной информационной безопасности компании, то до него стоит донести факт того, что все сотрудники в этот момент становятся «клиентами» IT-службы организации, которая будет заниматься их поддержкой. Чаще всего эта роль ложится на системных администраторов, которые и так обеспечивают бесперебойное функционирование IT-систем организации. И чем серьезнее меры безопасности, тем больше расходы на штат и инфраструктуру. Но почему-то об этой простой истине принято умалчивать.

Так что мне делать?


До руководства надо донести одну простую мысль: не бывает бесплатной информационной безопасности, бесплатно можно создать только видимость активности в этом направлении. Во всех прочих случаях возрастают расходы либо на штат системных администраторов (если в штате брешь, то вырастут простои на местах), которые будут оперативно реагировать на проблемы пользователей и смогут выстроить грамотную систему прав и доступов, либо требуется закупка токенов, которые выдают временные пароли/по которым происходит доступ к системе.

Относительно бесплатной альтернативой вышеупомянутому является только мастер-пароль, который пользователь может запомнить и не имеет права разглашать + использование менеджера паролей для доступа к стратегическому для компании софту и базам данных.

О чем мы, собственно, уже почти десяток лет и твердим.



P.S. Ниже опросы для офисных работников. Фрилансеров и удаленщиков просьба воздержаться по понятным причинам.

Комментарии (164)


  1. pnetmon
    25.10.2018 16:51
    +1

    Банковский сектор как пример для подражания
    … Задумайтесь: пин-код от банковской карты составляет всего 4 символа, однако никто не кричит о том, что он «слишком короткий» и простой для взлома

    Это не банковский сектор. Это преданья старины глубокой по использованию пластиковых карт. Притом там серьезная блокировка при неправильной авторизации, да и логин не такой простой, как кажется.


    1. sergeyns
      26.10.2018 11:29

      Я бы даже сказал, что сама карта — это пароль), а пин от неё — это уже последняя преграда на случай если кто-то ваш пароль «подсмотрел» (украл карту)


      1. pnetmon
        26.10.2018 11:38
        +1

        Сама карта это логин — однозначное определение пользователя. Пин код это пароль.


        1. saimon108
          26.10.2018 14:08

          Карта это логин и ступенчатая авторизация одновременно.
          Как в случае с логином и флешкой.
          Здесь Карта является логином и флешкой, пин — является паролем.
          Причем забрутфорсить пин особо не выйдет — либо займет много времени ибо n попыток и блокировка карты.


  1. Sn0WLi9ht
    25.10.2018 17:11

    Есть два фактора влияющие на время жизни пароля:

    1. Если пароль короткий то его легко перебрать, соответственно его время жизни должно быть мало
    2. Если человек уволился то нужно иметь четкую процедуру блокировки учетных записей, в больших организациях зачастую информацию об увольнении получить невозможно, и короткое время жизни пароля решает задачу с блокировкой учетных записей уволенных сотрудников

    В целом, как я считаю, основное препятствие для внедрения длинных паролей — отсутствие работающих процедур блокировки, смены паролей. Убедить бизнес чисто математическими расчетами думаю нельзя, но если вы 2-3 раза безболезненно сможете провести глобальную смену паролей во всей организации без последствий — с этим уже можно будет идти к бизнесу


    1. arandomic
      25.10.2018 17:21
      +3

      >>короткое время жизни пароля решает задачу с блокировкой учетных записей уволенных сотрудников
      Не решает.
      Как происходит процедура смены пароля в AD том же:

      — Срок действия старого пароля истёк.
      — Ты входишь в систему со старым паролем.
      — Тебе говорят: ай-ай-ай, поменяй пароль
      — Ты завершаешь сеанс
      — Вводишь старый пароль
      — Вводишь новый пароль
      — Работаешь.

      Т.е. если тебя уволили, но учетку не убили — ты и после окончания срока жизни пароля войдешь в систему, еще и поменяв пароль в очередной раз.


      1. rd_nino
        25.10.2018 19:58

        Если сотрудника уволили — то автоматически должна устанавливаться дата окончания срока действия учётной записи.
        После этой даты — хоть тресни — в систему уже не войдёшь.
        По крайней мере у нас так заведено.


        1. arandomic
          26.10.2018 12:19

          И причем здесь регулярная смена пароля?
          Логично, что с момента, как сотрудник уволен, блокируются учетка AD, ключ в СКУД, итп
          Комментатор выше говорит, что при увольнении помогает короткое время жизни пароля. А оно (короткое время жизни) не помогает.


    1. vuglusker
      25.10.2018 19:56

      У нас при увольнении сотрудника врубается скрипт из 1Ски HR'ов и блочит учётку в AD


      1. toivo61
        26.10.2018 14:49

        Вам повезло, что у ваших HR'ов нет дурацкой привычки переводить сотрудника из подразделения в подразделение через увольнение/прием. Нам не повезло.
        А скриптиком поделитесь. Плз.


        1. vanxant
          27.10.2018 05:33

          Отправьте «ононимку» в трудинспекцию, они быстро объяснят вашим хрюшам за нормы ТК.


        1. Scif_yar
          27.10.2018 18:18

          Disable-ADAccount -Identity RussellS


      1. djalin
        27.10.2018 12:47

        Если будет делиться лучше через гитхаб.


    1. Chugumoto
      26.10.2018 09:54

      в больших организациях зачастую информацию об увольнении получить невозможно
      а как же сдача всего оборудования при увольнении? у меня в последней организации так было. человек приходит с обходным листом в том числе в ИТ-отдел. сдает рабочее место, проверяется наличие оборудования… и блокируется учетная запись… человек получает подпись в обходной лист


      1. Sn0WLi9ht
        26.10.2018 10:27
        +1

        Не тогда когда у вас 130 филиалов в разных городах. Рабочие места не мобильные, и они остаются…


      1. nikolayv81
        27.10.2018 23:44
        +1

        Обходной лист это такая интересная штука, работник может просто не захотеть эти подписи собирать, и законно невозможно его заставить ходить за подписями.


  1. saipr
    25.10.2018 18:00
    +3

    Прочитав статью, вспомнилось как в далеких 90-х мы интегрировали системы контроля доступа (СКД) с системами защиты от несанкционирванного доступа (НСД) к компьютерам. Системы мы тогда назвали "Броня-ОТМ" — Система контроля несанкционированного доступа к компьютеру, совмещенная с системой контроля доступа в помещения "Броня-ОТМ". Система хорошо работала: вышел через турникет, не выключив компьютер, он автоматически выключался (и в БД все заносилось), пробрался на рабочее место минуя СКД — компьютер не загрузишь:
    image


    В этом случае и пароль менять не надо.


    1. ragequit Автор
      25.10.2018 18:04
      +3

      На мой взгляд, хороший пример полноценного периметра, который завязан на контроль доступа к помещению. Странно, что сейчас такие решения не пользуются популярностью в компаниях, которые не дают удаленный доступ, потому что доступ по ключ-картам организован в огромном количестве офисов.


      1. Serenevenkiy
        26.10.2018 11:42

        В принципе, SIEM умеют смотреть события СКУД. Если АРМ может послать в SIEM своё состояние «заблокирован/не заблокирован», то можно и инцидент завести на основе корреляции.


    1. pnetmon
      25.10.2018 18:55

      А почему пароль менять не надо?


      1. Charg
        25.10.2018 19:20

        Потому что «а зачем»?
        Принудительная смена пароля = усложнение рабочего процесса среднестатистического работника. Это самое усложнение должно быть оправданным, не просто же так палки в колеса совать.


        1. pnetmon
          25.10.2018 21:25

          Еще раз спрошу почему после картинки — В этом случае и пароль менять не надо. ?
          Эта система что Серебряная пуля?
          Там полно возможных способов несанкционированного доступа и притом разных. Хоть от варианта что контроль доступа стоит в офисное здание, хоть от варианта что контроль доступа стоит в каждое помещение где не больше двух мест АРМ, и учетка работает только когда идентификатором открыли дверь именно в это помещение.


          1. Charg
            25.10.2018 21:55
            +1

            И я спрошу еще раз, вне зависимости хоть после картинки хоть не видя её — а зачем?
            Каким образом потенциально существующие недостатки любой системы (хоть бы даже и той что на картинке) становятся аргументами за смену пароля по таймеру? Это никак не связанные вещи.


            1. anton1234
              26.10.2018 14:29
              +3

              Смена пароля по таймеру это прежде всего костыль который позволяет уменьшить негативный эффект от несаблюдения других разумных правил. Будь люди способны сделать один пароль и не выстрелить себе в ногу рассказав его соседу этого было бы достаточно на года, но нет. Для примера:
              Есть правило, что пароль вещь индивидуальная и сообщать ее коллегам\тех. поддержки, приходящим ребятам из франчайза 1С нельзя. Но ведь так удобно, заболела, позвонила Любочке, сказала пароль. Или этот 1сник который будет часа что-то обновлять. На тебе пароль, потом все закрой.
              Ваш пароль на бумажке украли, или просто подсмотрели как вы его набираете.
              В пароле по шаблону нет ничего такого ужасного при условии, что система аутентификации не позволяет себя брутфорсить и ограниченна числом попыток.
              Сброс пароля по таймеру позволят ограничить масштаб проблемы и для по мнению тех кто придумывает эти правила и для меня лично смена пароля это дешевая нетрудозатраная задача.
              Есть контр вопрос, который меня больше всего забавляет. Почему квалифицрованный взрослый человек с высшим образованием не может раз в 3 месяца выучить 8-12 новых символов? Ваши дети в школе Маяковского учат, некоторые даже Шекспира в оригинале.


              1. losse_narmo
                26.10.2018 15:32
                +3

                Есть контр вопрос, который меня больше всего забавляет. Почему квалифицрованный взрослый человек с высшим образованием не может раз в 3 месяца выучить 8-12 новых символов?

                Потому что у меня, например, сейчас на работе используется 20 разных паролей для 20 разных мест. И каждые 3 месяца обновлять их все становится сразу намного сложнее


                1. pnetmon
                  26.10.2018 16:08

                  Сменить пароль занимает меньше минуты. Обычно со временем вырабатывается алгоритм составления и перехода на новый, что не рекомендуется.
                  Конечно если пароли не придумывает программа или другой человек, тут можно только посочувствовать.


                1. anton1234
                  26.10.2018 19:49

                  Потому, что ваш ИТ не осили SSO хотя бы чуть чуть. И потому, что вы совсем не обычный пользователь про которого статья.


                  1. walti
                    26.10.2018 21:28

                    Потому что это реальное предприятие, а не ларек с шавермой.
                    Обросшее, как теперь модно говорить «легаси», вендорозависимым софтом, разбившееся на ветки, играющее в матричную структуру и прочее.


                  1. losse_narmo
                    26.10.2018 23:18

                    Расскажите пожалуйста, как поможет SSO для входа хотя бы на hh.ru? И это только один из десятка сервисов, которые используют в работе люди (нет, мы не hr агентство, просто это самый известный из ресурсов, используемых у нас).
                    Или этот пароль менять не надо и если утечет то и фиг с ним?


                    1. anton1234
                      26.10.2018 23:25

                      А какое отношение hh.ru имеет к теме топика? Речь про правила которые устанавливает руководство компании для своих сотрудников в отношении внутренней инфраструктуры.
                      Ваш ИТ отдел за hh.ru никакой отвественности не несет, хотите меняйте хотите нет.


              1. ariklus
                26.10.2018 16:27
                +1

                Почему квалифицрованный взрослый человек с высшим образованием не может раз в 3 месяца выучить 8-12 новых символов? Ваши дети в школе Маяковского учат, некоторые даже Шекспира в оригинале.

                Во-первых, речь идет обо всех сотрудниках, так что «квалифицрованный взрослый человек с высшим образованием» вычеркиваем.
                Во-вторых, пароль надо помнить 3 месяца а не до конца урока, а забытый/перепутанный один символ в «сильном» пароле — уже билет на зачастую не сильно быструю и удобную процедуру восстановления пароля.
                В-третьих, нередко на одного человека нередко приходится несколько паролей, каждый из которых надо менять — и тут уже приходится или записывать (не-продвинутый пользователь запишет на бумажку), или поступаться уникальностью.
                В-четвертых, имея хорошую память, вполне можно запоминать новые действительно уникальные пароли каждые Н месяцев — но те же усилия можно приложить куда-то где их подуктивность выше нуля.


                1. tcapb1
                  26.10.2018 16:34
                  +3

                  Плюс такие мелочи в целом снижают удовлетворённость от работы. Да и память — штука странная. Один раз я забыл пинкод от своей банковской карточки, которой пользовался почти каждый день. Подхожу к банкомату, готовлюсь ввести код… и ступор. Не помню. Вообще не помню. Вот что это было? Видимо действие по вводу пина на магазинных терминалах было настолько доведено до автоматизма, что когда потребовалось ввести этот же пин на клавиатуре другой формы — у меня ничего не получилось.

                  А это всего 4 цифры.


                  1. anton1234
                    26.10.2018 20:00
                    +1

                    Мою удовлетворенность снижает отсутсвие парковки у входа в БЦ, чай в пакетиках, и мой сосед который постоянно трындит по телефону.
                    Смена паролей это просто очень дешевый способ поднять безопасность. Есть подороже, но это все отразится на вашей зп в конечно счете.
                    Чтобы сделать всем токены или биометрию, вам нужно купить оборудование и лицензии, а самое дорогое, ваш админ с этим не справится, нужен еще один.
                    Если честно, сколько вы готовы отдать из своей ЗП, чтобы не менять пароли раз в 3 месяца?
                    ЗЫ. Кстати, Автор. А вы не могли бы добавить это в опрос? Без иронии, всеже понимают, что ничего не бывает бесплатно.


                    1. walti
                      26.10.2018 21:25
                      +1

                      Это не дешевый способ поднять безопасность, это дешевый способ снятия с себя ответственности, типа «ну это же компьютеры, они с… а сложные, они всегда глючат, ну вы же понимаете».

                      Нежелание вникать в бизнеспроцессы для разграничивания доступа и тупое следование методичке (которая устарела).

                      Пароль в корпоративной среде несет только одну функцию — ЭЦП.
                      Факт владения паролем подтверждает право на совершение действий. Всё.

                      Низовой состав всегда будет меняться паролями, что бы прикрыть запои.
                      Руководство никогда не отдаст пароль, что бы не спалить конфиденциальную инфу.

                      Сливы — через инсайд, обрушение инфраструктуры — через криптолокеры, которые плевали на пароли.

                      Нормальное решение персонифицированного ЭЦП — зарплата капает тому, кто залогинился.
                      Двинутое — смена паролей -30 дней, большие/маленькие+цифры+хрень_всякая.


                      1. anton1234
                        26.10.2018 21:40

                        Не ожидал, что в аргументации каким-либо образом всплывут запои!
                        Сдаюсь, предприятии с массовыми запоями не мой профиль.


                        1. walti
                          26.10.2018 21:46
                          +1

                          Замените запой на «сходил в ЖЕК насчет уборки лестничной площадки».
                          Большинство учереждений, внезапно, работают тоже с 8 до 17-ти.
                          Но бизнес-процессы, логины, аутинтификация, отпуск за полгода.

                          Люди ищут лайфхаки. Иногда проще дать пароль, чем объяснять, почему ты опоздаешь на час.


                      1. BugM
                        27.10.2018 00:34

                        Какие к черту запои? Средний человек иногда опаздывает, а иногда просто внезапно не выходит. Такое бывает по обыденным причинам. Жизнь она разная.

                        Если нет возможности достать файлы из профиля человека, кроме как зайдя с его паролем, то пароли будут давать друг другу и писать в доступном месте. Люди они такие.

                        Если СБ не предусмотрела типичные недостатки людей то это проблема СБ, а не людей.

                        У разработчиков все просто. Все что может быть нужно другим людям в гите. Остальное точно не нужно. А вот с «бухгалтерами» это не работает


                    1. Anthony_K
                      27.10.2018 01:44
                      +1

                      Смена паролей это просто очень дешевый способ поднять безопасность.

                      Смена паролей не влияет на безопасность вообще. Если ваш пароль неизвестен никому, кроме вас, вы можете не менять его хоть 100 лет. Если ваш пароль скомпроментирован, то критическую роль играет время обнаружения и реагирования. Всё. Вы можете менять пароли каждые 10 дней, если я перехвачу его за час до экспирации, оставшегося времени мне хватит, что бы увести sensitive data. Поэтому я полностью солидарен с автором: политика смены паролей — это дешевая иллюзия безопасности.


                      1. tcapb1
                        27.10.2018 21:18

                        Всё-таки одно дело, когда утёк сменяемый пароль, и злоумышленник может разово выгрузить документы фирмы (и при этот не спалиться). А другое дело когда утёк несменяемый. Если злоумышленник сильно не палится, то он может годами быть в курсе всего происходящего в фирме. В меняющемся мире, где данные довольно быстро устаревают, второе гораздо ценнее.


                        1. Anthony_K
                          28.10.2018 14:30

                          Ваш пример актуален только в простых случаях, типа, я хочу палить переписку своей секретарши во вконтактах. В серьезных вопросах подход ошибочен. Дело в следующем: если серьезный злоумышленник хочет иметь «точку присутствия» в чужой ИТ-системе, то он не ограничивается кражей пароля, а тут же внедряет руткит/бэкдор таким образом, что бы сохранить доступ в случае блокировки/смены пароля. Поэтому я еще раз говорю: на первом месте должны стоять меры обнаружения и реагирования. Если вы меняете пароль раз в 30 дней, у злоумышленника, в среднем, будет в распоряжении 15 дней. Этого более чем достаточно, что бы похитить всю критичную информацию и сделать себе бэкдор.


                  1. tvr
                    27.10.2018 18:19

                    Один раз я забыл пинкод от своей банковской карточки, которой пользовался почти каждый день.


                    После того, как я оказался в аналогичной ситуации — сменил PIN на комбинацию из цифр, имеющихся на карте.


              1. walti
                26.10.2018 18:00

                Почему квалифицрованный взрослый человек с высшим образованием не может раз в 3 месяца выучить 8-12 новых символов?

                Потому что квалифицированный взрослый человек с высшим образованием пришел на работу зарабатывать деньги вместе с организацией.
                А не страдать мурой, из-за того, что ИТ хочет увильнуть от ответственности, действуя по устаревшим методичкам.
                А потом прилетает криптолокер бухгалтерше Любочке и сносит всю инфраструктуру- очень от этого помогают пароли из больших/маленьких+цифры+хренотень.


                1. anton1234
                  26.10.2018 19:55

                  Одно простое правило, которое могло бы заменить смену паролей по расписанию: «Если вы допускаете, что пароль стал извествен другим лицам немедленно смените его.» Но вы ведь не будете ему следовать, причину вы описали.
                  Таймер на пароли это не решение проблемы безопасности системы. Это борьба с теми, кто считает, что ИТшники могут сделать безопасность сами. Но это не так, пользователь тоже часть этого, и он тоже должен участвовать.


                  1. walti
                    26.10.2018 21:41
                    +1

                    Это решение из оперы идеализированного ИТ для биоробАтов.
                    Всеравно, оператор Лидочка прикроет оператора Людочку, зайдя под ее паролем.
                    Потому что у Людочки была незабываемая ночь с намеком на, внимание, «отношения» и сегодня Людочка в дрова. А работа стоит, документы не ходят.
                    Самое слабое в безопасности — человек. И тупые методички насчет паролей не устраняют проблемы.
                    Правильное решение — кто залогинился, того и ЗП. У начальника — мастер-пароль на случай отсутствия Людочки и возможность перекинуть переписку и полномочия Лидочке, Лидочке капает не от табеля, а от закрытых тасков.
                    И Людочка превращается из «лучшей подруги, которой привалило женского счастья» в «пьяную лядь, которой лишь бы сачконуть».


                    1. vanxant
                      27.10.2018 06:02

                      1. Людочка — секретутка, ей платят не за таски, а за нахождение на ресепшене (телефоне, корпоративной почте) с 9 до 18. Если платить за таски, она будет приходить в 11 и делать ваши накопившиеся таски «оптом». Да, часть звонков профукается, но ей то чего, она получит на 10% меньше ЗП за рабочий день на 40% меньше. Потери фирмы объяснять надо?
                      2. Отпуска, больничные и вот это всё. Возможность наличия «мастер-пароля» у начальника с возможностью делегирования доступа ушедшей в отпуск Любочки дежурной Лидочке требует весьма серьёзной настройки всего, от телефонии и СКД до всех до единой корпоративных программ, включая всякие облачные сервисы типа того же hh.ru. Ну, не заставлять же Лидочку бегать от одного стола к другому и обратно, правильно? Не потому что мы не хотим нагружать её ножки, а потому что это тупо медленно, а на неё и так двойной объём работы упал.


                      1. walti
                        27.10.2018 09:09

                        Людочка — секретутка

                        Если секретутки нет на месте, то админ мухой скидывает пароль на 12345678 по звонку директора.
                        Это ОЧЕНЬ секюрно, да.
                        весьма серьёзной настройки всего

                        А я думал ИТ — это мышки пароли менять…


                    1. michael_vostrikov
                      27.10.2018 10:27

                      Правильное решение — кто залогинился, того и ЗП.

                      "Залогинься за меня, я тебе потом с зарплаты отдам"


                      1. walti
                        27.10.2018 13:03

                        Да, но сильно реже.


                  1. BugM
                    27.10.2018 00:42

                    Одно правило есть и оно не такое. Если у человека есть доступ к критичной для бизнеса информации, то ему надо выдать токен и насиловать за оставление токена на рабочем месте.

                    Токен стоит около 1000 рублей. Это вообще не расходы для фирмы.


              1. Anthony_K
                27.10.2018 01:46

                Почему квалифицрованный взрослый человек с высшим образованием не может раз в 3 месяца выучить 8-12 новых символов?

                Представьте себе, что закон Ома, который вы выучили в школе один раз и на всю оставшуюся жизнь, будет меняться каждый месяц.


    1. BugM
      25.10.2018 19:04

      В среднем офисе эта система работать не будет.
      Удаленный доступ нужен.
      Покурить как выйти? Курилки нынче на улице.
      В обед что делать? Обед тоже обычно на улице.

      Да и глючат такие системы страшно… Постоянно считают что человека нет, хотя он есть или наоборот. Особенно смешно когда дверь не открывается, т.к. считает что человека за ней не может быть.


      1. Foggy4
        26.10.2018 14:03

        У меня точно такой же опыт. Основная проблема, что не все события входа/выхода успешно регистрируются в БД СКУД, хотя возможно это проблема нашей конкретной СКУД.


    1. Taliesien
      26.10.2018 09:34

      Спасибо за идею. Что-то похожее в голове вертелось, но никак не сформировывалось.


  1. C4ET4uK
    25.10.2018 19:17

    Но ведь запоминаемый пароль с шаблоном, ничем не хуже чем запоминаемый пароль без шаблона, а чем-то даже лучше. Ну то есть конечно железный токен+пароль еще лучше, но при отсутствии токена сменяемый пароль не самая худшая мысль. Он как минимум спасет от случая когда пароль утек и его будет подбирать тупой бот, который не сможет разобрать шаблон. Да и человек например не каждый сможет понять шаблон по одному паролю В идеале их нужно несколько. Из минусов только пароль на бумажке, но мы же все серьезные люди, и пароли на стикерах не пишем.


    1. nidalee
      25.10.2018 20:38

      Если хакер слил БД 2-х месячной давности, и видит, что у сотрудника Х 4 месяца назад пароль был ASSHUNTERX06, 3 месяца назад — ASSHUNTERX07, а 2 месяца назад — ASSHUNTERX08, то угадать, какой пароль сегодня труда не составит. А боты вроде бы уже давно научились подбирать шаблоны, при условии, что юзер 1 — так даже «консьюмерский софт» типа Sentry MBA умеет, если я правильно помню.


      1. C4ET4uK
        25.10.2018 21:13

        вы только что назвали ряд условий для получения реального пароля.
        1. Собрать несколько паролей
        2. Посмотреть на них внимательно и найти зависимость (если правило генерации чуть сложнее, бот может уже не справиться)
        По сути эти пункты — дополнительные рубежи пусть не защиты, но усложнения доступа.
        Если бы пароль не менялся достаточно было бы угнать один пароль любой давности.


      1. Sergey-S-Kovalev
        25.10.2018 21:29

        Если сливать базу каждый месяц — то шаблонизация паролей уже наименьшая из проблем.


        1. nidalee
          25.10.2018 21:32

          Каждый месяц и не надо. Самые «продвинутые» в своем стремлении менять чужие пароли умудряются сохранять себе историю прошлых изменений, а потом выкатывают: «этот пароль уже был 10 раз назад!»


          1. martin_wanderer
            25.10.2018 23:00

            Рискну предположить, что хранятся все же хэши


            1. Scif_yar
              27.10.2018 18:20

              Рискну предположить, что хранятся все же хэши

              пааадумаешь пару сотен часов перебирать — сначала по словарю, потом так.


          1. Barafu_Albino_Cheetah
            26.10.2018 02:41

            «Этот пароль уже используется пользователем v.pupkin»


      1. bondbig
        26.10.2018 10:34

        А тут уже не сотрудник виноват, а тот, кто написал систему с хранением паролей в открытом виде


      1. evgenWebm
        27.10.2018 02:28

        Шаблоны бывают разные.
        То что вы привели глупый шаблон, не делает шаблоны плохим.
        Это говорит, что вы не умеете готовить их.
        Шаблон может быть такой, что при генерации пароля, будет создаваться уникальный пароль, который легко запоминается.


  1. sedoi_starik
    25.10.2018 19:56

    На мой взгляд надо понимать к какой системе выдвигать такие требования, в плане смены паролей раз в 30-90 дней. Если УЗ используется в системе для обработки информации открытой информации, то да это очень слишком короткий период. А если УЗ используются в системе для обработки конфиденциального характера, то считаю что что период смены от 30 до 90 дней, это нормально. Кто мешает делать резервную копию пароля, и хранить это все у руководителя структурного подразделения. Все зависит от политики информационной безопасности.


    1. nikolayv81
      27.10.2018 23:57

      И вы на тёмной стороне :)
      Особенно хорошо это когда у вас в компании несколько рабочих мест (разные сети, пароли не синхонизируются) есть несколько учёток в системах которые не интегрируются с AD, и на них тоже "свои сроки смены паролей", и при этом ещё и объединённая почта завязанная на одну из учёток через один из AD и вам в итоге нужно помнить штук 10 паролей меняющихся раз в пару месяцев. (При этом часть из этих паролей вообще не имеет смысла, но то отдельная история)


      1. Scif_yar
        28.10.2018 10:41

        ставится любой менеджер паролей с привязкой к LDAP и разбивкой по сервисам, и получаете ключевой пароль в AD.


        1. nikolayv81
          28.10.2018 11:06

          Как минимум 3 AD, но 2 как-то таки смогли синхронизировать, но есть не нулевая вероятность что скоро ещё один ad придёт :)
          Установка доп ПО запрещена, чтобы безопасность пропустила менеджер паролей, есть большие сомнения (начнём с сертификации у регулятора, что-то есть сомнения что такие существуют). Я вообще очень люблю высказывания "да всё это легко, ставим тут ПО тут галочки и всё" но по факту всё сильно сложнее, и вылезают то те то другие проблемы, в итоге в организации с персоналом под 100 тысяч годами не могут завершится проекты начинавшиеся такими фразами. ИМХО лучше бы автосмену паролей убрали, особенно с учётом того, что узких мест помимо этого предостаточно, нужно только очень сильно захотеть, но у нас в стране культ охранника, увы.
          p.s. выступаю исключительно как бизнес пользователь, который иногда наблюдает умирание проектов (выгорание людей с хорошими идеями) на этапе сотгласования/ с безопасностью.


          1. Scif_yar
            28.10.2018 11:35

            Как минимум 3 AD, но 2 как-то таки смогли синхронизировать

            у AD нет термина «синхронизация между лесами», есть доверие. Леса или доверяют друг другу, или не очень (например, только в одну сторону и не во всем). Но это так, занудства для.
            Установка доп ПО запрещена, чтобы безопасность пропустила менеджер паролей,

            Это не дополнительное ПО, а целый сервак, обвешанный шифрованием и защитой по самые гланды.
            www.linux.org.ru/forum/general/11958460


  1. Sergey-S-Kovalev
    25.10.2018 21:48

    Уже сто раз было сказано и доказано: Есть двухфакторная/многофакторная авторизация — меняй когда хочешь. Нет двухфакторки — меняй регулярно и принудительно. Попытки авторизации должны мониториться. SSO резко уменьшает количество паролей. Ролевой доступ наше все.

    Регулярная смена пароля спасает от ситуаций, когда сотрудник имеет один и тот же пароль для входа в корпоративную сеть, личную почту и маленький уютный бложик с миллионом дыр.

    Хочешь доступ к критичной инфраструктуре или подписать цифровой подписью — добавь токен и/или персональный сертификат.

    Хочешь с мобильного устройства — будь под контролем MDM.

    Все остальное надуманное, притянутое за уши и оторванное от реальности.


    1. martin_wanderer
      25.10.2018 23:04

      Регулярная смена пароля спасает от ситуаций, когда сотрудник имеет один и тот же пароль для входа в корпоративную сеть, личную почту и маленький уютный бложик с миллионом дыр.

      Лично знаю сотрудника ( нет, не я — у меня другая технология «борьбы»), который при запросе AD на смену пароля меняет его десять раз подряд. Да, у нас пароль не должен совпадать с 10 последними.


      1. Gordon01
        26.10.2018 09:32

        Лайфхак!


        1. AndreyYu
          26.10.2018 18:11

          В данном случае лучшим лайфхаком будет дружить с админом и за кофе/булочки/пиво/сигары приходить к нему и быстро поставить любой пароль через оснастку ad :)


      1. Norno
        26.10.2018 12:35
        +1

        Для таких есть минимальный период действия пароля, как правило 1 день, или около того. В таком случае, «прокручивание» паролей занимает не менее 10 дней (фактически 2 недели), что все же снижает привлекательность такого метода. В AD есть из коробки, в остальных системах — где как.


  1. dollar
    26.10.2018 00:08

    Раз в несколько месяцев qiwi (на смартфоне) обязывает сменить pin-код.
    Приходится менять, добавляя +1 к текущему пин-коду.
    Сразу захожу в настройки и принудительно меняю на старый пин-код.


  1. Iwanowsky
    26.10.2018 02:15

    В своей госбюджетной организации мы боролись с пользователями, наклеивающими стикеры с паролями на мониторы, и все равно не можем это побороть окончательно. Кто-то иконки со святыми клеит на монитор, а кто-то — стикеры с паролями и также молится на эти листочки — типа как бы не ошибиться при вводе пароля. Хотя бы листочки клали под клавиатуру, а не вешали на самом видном месте! Представьте себе, например, кабинет бухгалтера, каждый день — куча посетителей (своих сотрудников и извне), а на мониторе бухгалтерши висит стикер со всеми паролями (АД, вход в БД, Интернет, почта, банк-онлайн и т.д.) И не мудрено, что периодически какие-нибудь недохакеры (все пароли-то известны) получают нелегальный доступ к БД и пр. авторизованным сервисам, и отследить такие заходы не так просто. Недавно зашел к одному начальнику отдела, настраивал ему компьютер, а когда он вышел, взял листок с паролями сотрудников его отдела и отксерил на его МФУ. Потом разбирался с ними и их начальством; ведь так любой их посетитель может поступить.


    1. aim
      26.10.2018 10:30

      чтобы листочки не клеили надо пояснять как правильно хранить бумажки с паролями.


      1. Neusser
        26.10.2018 11:34
        -1

        Пару раз наказать и пройдет. Даже необязательно финансово — сменить пароль, когда работника нет на месте. Одного раза уже может стать достаточно. Точно так же можно с теми, кто не блокирует компьютер, покидая рабочее место.


        1. aim
          26.10.2018 12:44

          не надо за это наказывать — это не плохо. надо пояснять как правильно это делать.


          1. Neusser
            26.10.2018 14:13

            Если не плохо, то и проблемы нет. Так? Так. А если же так делать нельзя, то это плохо.


    1. darthslider
      26.10.2018 11:31

      Знакомый на банковских картах везде пишет пинкод.
      Фишка в том, что пинкод он пишет не правильный :D

      Пришла в голову идея так же клеить бумажки с неверными паролями и в логах это смотреть.


      1. Norno
        26.10.2018 12:37

        Развитие идеи, писать 4 неверных пинкода, намекая что есть один верный, и его можно угадать…


        1. force
          26.10.2018 17:16
          +1

          Всё просто, надо писать один пинкод, но 1 похожей на 7-ку, или наоборот, 5-ку на 6-ку, в общем вариантов много.


          1. vitaliy2
            26.10.2018 18:00

            Тогда понятно, что это ловушка)


            1. force
              26.10.2018 18:16
              +2

              Нет, просто плохой почерк :)


          1. Mad__Max
            27.10.2018 04:49

            Мне так как-то фирменную бумажку с пинкодом выдали в банке, где сам код был так фигово пропечатан (такое ощущение что на убитом в хлам матричном принтере через копирку вместо ленты), что пришлось так собственный пароль угадывать — было не понятно 3 там или 8 в одной из позиций и 5 или 6 в другой.

            Что давало 4 возможных варианта. Только с 3й попытки угадал…


    1. walti
      26.10.2018 11:46

      мы боролись с пользователями

      вся суть.


    1. Scif_yar
      27.10.2018 18:21

      В своей госбюджетной организации мы боролись с пользователями, наклеивающими стикеры с паролями на мониторы, и все равно не можем это побороть окончательно.

      административные проблемы лечатся только административно.
      то есть пиздюлями


  1. Protos
    26.10.2018 04:26

    Мне кажется автор статьи совсем не учитывает что если в домене включить двухфакторную аутентификацию или аутентификацию исключительно по токену (т.е. вообще без пароля), то куча софта которое это не поддерживает, отвалится. Пароль короче 8 символов в ntlm давно уже не безопасен, а значит остаётся периодическая смена либо куча паролей на каждую систему, но тогда прощай SSO. С разноригистровыми паролями согласен, уж лучше фразу из 20 символов применять.


    1. aim
      26.10.2018 10:28
      -2

      да. надо в 2018 году встать и честно сказать — SSO ИДИОТСКАЯ идея идущая вразрез с практиками _безопасности_


      1. Protos
        26.10.2018 14:38

        Гораздо безопаснее ввести один раз пароль и не вводить его везде, а ещё лучше использовать windows hello (при входе в ПК вводить PIN), в итоге тем самым вообще не вводить пароль и не позволять кейлогеру его перехватывать


        1. evgenWebm
          27.10.2018 03:40

          Святая наивность, сложность ввода пароля равно безопасности)


          1. Protos
            27.10.2018 05:08

            Я пин из 4-х символов предлагаю вводить, а дальше везде SSO, где здесь сложный пароль? Аргументацией свою точку зрения. Если у вас есть в компании SOC, то легко выявите и подбор и ввод PIN-кода инсайдером. Если нету — лучше длинные пароли из четверостиший.


            1. evgenWebm
              27.10.2018 10:57
              -1

              Вы еще подпись директора требуйте для входа на ПК. Это же безопасность поднимет)))


      1. xgbaggins
        27.10.2018 12:47

        ИДИОТСКАЯ идея в 2018 году это доступ по паролю без двухфакторной авторизации


  1. VIPDC
    26.10.2018 06:02

    Проблему в некоторых организациях усложняет то, что нужно иметь по 100 паролей к 100 АРМ (АСУ).
    Соответственно люди хранят логин и пароли отдельных файлах. Т.е главное получить доступ к учётной записи, и всё, остальные потуги специалистов в других системах по информационной безопасности рассыпаются в прах, хоть ты делай пароль в 64 символа с цифрами буквами и блек дежеком.


    1. Protos
      26.10.2018 14:40

      Запускайте на ПК пользователей ПО которое ищет пароли в файлах, привет функционал DLP. Дорабатывайте свои АСУ для работы через SSO.


      1. VIPDC
        27.10.2018 18:11

        Я пользователь. Про ПО не знаю, просто парк большой наверное около 100 тыс. машин.
        АСУ более 6 тыс (ну это с подпрограммами, реально где то 500, точной цифры нет).


      1. nikolayv81
        28.10.2018 00:10

        Если в борьбе безопасников с бизнес подразделением победит безопасность, бизнес закроется :) (безопасность этого часто не понимает, по крайней мере та часть что исполнители).
        p.s. а ведь бывает так что уровень доступа сотрудника к информации такой, что сканировать его файлы не желательно.


        1. Protos
          28.10.2018 04:15

          Безопасность найдет другие способы, вероятность что кто-то свободно входит в кабинет директора минимальна


          1. nikolayv81
            28.10.2018 11:10

            В больших организациях это могут быть не только члены правления, ограничения на доступ и правила могут быть не только внутренними.


  1. m0Ray
    26.10.2018 07:56

    1) Не «скриммер», а «скиммер».
    2) Куча шаблонов, используемых на малозначимых сервисах, но для особых случаев придумываю особые пароли. Пароли генерируются из текстов песен, причём не самых любимых. Конечно, не вида «40tovgsb».


    1. Protos
      26.10.2018 14:41
      +1

      Лучше фразу "Антошка картошка пироги роги", стойкость больше, запомнить легче.


      1. tcapb1
        26.10.2018 16:40

        Это в случае если такая фраза одна/несколько. Шаблонизировать при регулярной смене пароля такие фразы сложно. Ну или получится монстр типа «Антошка картошка пироги роги 08_A»


        1. Protos
          26.10.2018 17:34

          Не надо шаблонизировать, придумайте другое четверостишие. После третьего повторения и трех раз ввода с клавиатуры, уже не забудьте.


          1. nikolayv81
            28.10.2018 00:11

            У вас хорошая память, вы просто не понимаете что у других она может работать по другому.


      1. m0Ray
        27.10.2018 11:19

        А примерно так и есть. Только у меня репертуар менее детский, к примеру, Псой Короленко или Олег Медведев. У них очень хорошие и легко запоминающиеся фразы есть, вроде «сердце конкистадора в крови и ржавчине от брони» или «как у Дрори восемь дыр, её трахает весь мир, а в другие две дыры — виртуальные миры». ;)
        Фразы привёл наобум, разумеется.

        А шутка про «40tovgsb» не зашла, гляжу? ;) Эх, не знает народ сисадмина Козлыблина…


  1. filkt
    26.10.2018 09:37
    +1

    Еще нужен вариант «Не знаю своих паролей, храню их в кипасе».


    1. aim
      26.10.2018 10:26

      ++


    1. Neusser
      26.10.2018 11:39

      вы используете кипас для входа в windows?


      1. aim
        26.10.2018 14:51

        это кстати ключевой вопрос — пароль для разблокирования компьютера и пароль для разблокирования паролехранилки и SSO должны быть РАЗНЫЕ пароли.

        первые два в голове — третий уже можно в паролехранилке хранить.


      1. filkt
        27.10.2018 00:35

        я знаю только 3 пароля.
        1. От битлокера (да не лучшее решение, но что то)
        2. От учтеки виндовс (что бы собственно войти)
        3. От менеджера паролей.


  1. strange2007
    26.10.2018 09:51

    Когда пароли не меняются, у некоторых сотров они становятся слишком простые (например, «123») и все в конторе знают пароли всех. Это происходит в абсолютно всех мелких и средних конторах. Потом, когда обижают какого нибудь сотрудника, эта особенность выстреливает в виде подставы, воровства или просто пакости.
    В общем, автор, не будьте таким категоричным. Жизнь она такая… богатая опытом.


    1. Sklott
      26.10.2018 10:01

      Ну наверно проще заставить помнить один сложный пароль «всю жизнь», чем заставлять запоминать разные и сложные пароли каждый месяц-три.
      В том смысле, что если нет требования по смене пароля, то можно относительно безболезненно повысить требования к сложности пароля.


      1. strange2007
        26.10.2018 11:10

        Мысль простая: «пароли простые» и «пароли известны всем»
        Первое вырастает из изречения про то, что «хакер всё равно сломает любой пароль и надо просто нормально извне защищаться», а второе из того, что в редких случаях пароли передают коллегам. Например, когда кто-то в отпуске и коллеге срочно-срочно понадобилось что-то.
        К сожалению это часто вижу в разных организациях. И именно поэтому чем серьёзней контора, которую встречаю в своей деятельности, тем более жёсткие требования к паролям, в том числе и к смене


    1. aim
      26.10.2018 10:27
      -2

      для того чтобы не было паролей 123 и прочил популярных — должен быть процесс проверки таких паролей отделом ИБ. Регулярный и автоматический. С автоматическим же лишением премии и блокированием аккаунта того, кто поставил такой пароль. Невзирая на чины и заслуги.


      1. strange2007
        26.10.2018 11:16
        -1

        Махать шашкой глупо. Грамотный автоматизатор монетезирует косяки, связанные с тем, что пароли знают все и закрепит ответственность на хозяевах паролей. А затягивание гаек по Вашему методу просто приведёт к бунту и массовым увольнениям, громко хлопнув дверью.
        А вообще, смотрите причины. С причинами работать надо. Ведь простые пароли как появляются? Кто-то изрёк умную мысль, что хакер сломает любой пароль, поэтому защищаться надо на дальних подступах, вот некоторые люди и выбивают себе простые пароли используя эту фразу.
        И в любом случае без смены паролей, все будут знать пароли всех. Это касается мелких и средних контор


        1. aim
          26.10.2018 12:43

          это вопрос работы с персоналом и найма адекватных людей.


          1. strange2007
            26.10.2018 12:57

            Это неформализуемый параметр — адекватность.


          1. VladimirKadnikov
            26.10.2018 14:09

            Если вы заставите адекватного человека, знающего себе цену, раз в месяц запоминать очередную мешанину из букв и цифр, то это адекватный человек попросту сменит место работы.

            А те люди, которых вы готовы принять как адекватных и которые поддержат вашу инициативу — скорее всего бездари, у которых выхода не будет кроме как плакать и продолжать ржать кактус


            1. aim
              26.10.2018 14:50

              вы абсолютно неверно восприняли мой комментарий.

              я ПРОТИВ того чтобы люди запоминали мешанину из букв и цифр. я ЗА то чтобы они ЗАПИСЫВАЛИ достаточно сложные пароли. и имели 1 который помнят. тоже сложный (25+ символов), но простой для человека.

              комментарий же про тех пользователей, которые не сделали сложные пароли к сервисам и не записали их, а вместо этого сделали пароли вида `123q1w2e3r4!!!`


              1. nikolayv81
                28.10.2018 00:19

                В вашем пароле 14 символов, даже с учётом предсказуемости вариантов очень много, а если переставить хотя бы пару цифр, то в нормальных условиях практически невозможно.


      1. pnetmon
        26.10.2018 13:12

        для того чтобы не было паролей 123 и прочил популярных — должен быть процесс проверки таких паролей отделом ИБ.

        А почему кто-то должен иметь доступ к явному чтению паролей? А сами пароли регулируются установленными правилами программ при установке, изменении пароля.


        1. Sklott
          26.10.2018 13:29

          Знаю как минимум одну крупную мировую корпорацию которая брутфорсит пароли сотрудников на предмет их слабости.


          1. pnetmon
            26.10.2018 16:23
            +1

            Одно дело сам пароль, другое дело что хранится в системе для проверки введенного пароля, обычно системы не хранят пароли как они вводятся. А работать с хешем разных по времени пользовательских паролей и хешем не рекомендуемых паролей это чуть другое чем с самим паролем.


  1. Sklott
    26.10.2018 10:00

    Пункт «Использую шаблон и меняю его часть.» всё же думаю было уместней сократить до простого «Использую шаблон.», т.к. не всегда при использовании шаблона меняется только часть пароля, можно и весь пароль по некоему алгоритму менять.


  1. Slipeer
    26.10.2018 10:14
    +1

    У администраторов есть «лазейка» при административной смене пароля политики не работают — можно установить такой же как и был.
    Когда пароли часто меняются после каждой мены начинаются блокировки по подбору — часто меняющиеся пароли сложно запомнить, поэтому их чаще сохраняют в автозаполнении браузера и ещё куче не очень безопасных мест. Особый шик: забытая пользователем сессия с запущеным например IMAP клиентом где-нибудь на всеми забытой виртуалке… Или сохранённый пароль в настройках прокси сервера в куче конфигурационных файлов.


  1. aim
    26.10.2018 10:26
    -1

    Вообще single sign-on — лютое зло. Пароль человек должен помнить от своей паролехранилки (и менять время от времени), он должен быть достаточно просто для запоминания и длинен (25+ символов).

    Остальное может иметь какую-угодно политику. Хочет руководство видимости безопасности — пусть хоть каждый день пароль меняет. Я его всё равно генерю KeePassXC и не знаю вообще.

    Вопрос в том, что надо обучать подьзователей информационной безопасности. Доносить до них что безопасность в компании это не задача «му**** из отдела ИБ», а КАЖДОГО сотрудника от уборщицы до ТОПа.


  1. leossnet
    26.10.2018 10:26

    Мне кажется, обсуждение политики в отношении паролей можно вести только в контексте значимости ресурсов, для доступа к которым эти пароли используются. И обсуждение должно вестись с учетом всех значимых факторов, влияющих на безопасность, в каждом конкретном случае. А то может возникнуть ситуация, когда сложные пароли, сформированные системным администратором, затем массово рассылаются каким-нибудь кадровиком по электронной почте в виде открытого текста единым списком всех пользователей с их логинами и паролями.


  1. gatoazul
    26.10.2018 10:56

    Peter Guttman в своей книге Engineering Security совершенно согласен с автором: регулярная смена паролей — зло. Аргументы (с результатами тестов) в книге.


  1. suharik
    26.10.2018 11:10

    Шаблоны бывают разные. Вместо сложнейшего «qwerty123465» (все заметили перестановку цифр в конце, что делает пароль практически невзламываемым?) можно использовать более причудливые схемы. Для человека, увлекающегося кулинарией — блюдо+ингредиент+масса. Для историка — событие+год+участник. Для коневода — порода коня + тип древесины, из которой сложен загон + кличка животного, чья кожа пошла на изготовление хлыста. Для политика — дата + размер взятки + у кого брал. Все это можно сдобрить спецсимволами, получив в итоге что-то вроде $hurpaGarl1k250gR. И запомнить легко. Сколько чеснока кладем в шурпу? Чем не контрольный вопрос (самому себе) вместо девичьей клички подруги любовницы отца?


    1. darthslider
      26.10.2018 11:33

      вот да, это неплохие весьма шаблоны.
      Сам использую фразы из 3-4 русских слов в англ раскладке разбавляю случайными символами. И длинный и запоминается.
      Единственный минус — очень неудобно вводить на мобильных устройствах (когда нет одновременно русских и английских букв на клавишах).


    1. walti
      26.10.2018 11:55

      До недавнего момента у меня были корпоративные пароли из смеси нескольких слов в другой раскладке символов под 20-ть.

      IT, начитавшись методичек по снятию ответственности, поставило в домен требования большие/маленькие+цифры+всякая мура со сроком смены 30 дней.

      Теперь у меня пароли вида Qwerty123 4 5…

      Безопасность — взлетела до небес, я гарантирую это на 146%


      1. sasha1024
        26.10.2018 13:45
        +1

        Аналогично.


    1. staticlab
      26.10.2018 11:57

      Чем не контрольный вопрос (самому себе) вместо девичьей клички подруги любовницы отца?

      А как же захардкоженный список контрольных вопросов, ответы на которые можно узнать из соцсети?


      1. darthslider
        26.10.2018 12:26

        использую «пароли» для секретных ответов.
        Девичья фамилия матери? GBTHpD. Да, странная, но у неё Польские корни.


        1. sasha1024
          26.10.2018 13:50

          Когда-то вообще делал ответами на секретные вопросы случайные сочетания символов, которые не запоминал. Потом прекратил.


          1. darthslider
            26.10.2018 13:53
            +1

            Не, их всё же надо помнить.
            Просто я воспринимаю это, как еще одно поле пароля.


            1. sasha1024
              26.10.2018 13:56
              +1

              Ну да, я потому и перестал так делать. Когда наткнулся, что некоторые сервисы используют их не только для восстановления основного пароля, но и ещё периодически спрашивают «на всякий случай» при выполнении важных операций.


    1. klirichek
      26.10.2018 14:31

      Ещё как вариант — литературный.
      Строчка из какого-нибудь известного стихотворения, плюс соль из цифр/спецсимволов (если есть требование, чтобы они были).
      Получается и достаточно длинно (это уже не пароль, а целая фраза). И не забывается.
      И менять просто. В январе первую строчку, в феврале — вторую и т.д.


    1. Barafu_Albino_Cheetah
      26.10.2018 19:18

      «Чего-чего я там на единицу заменял… l или i? Не помню». Представления о шурпе тоже со временем могут меняться.
      Я одобряю только метод Кащея: у юзера флешка, на флешке раздел, в разделе файл, в файле пароль. Воткнул — открылось, вынул — закрылось. Нужен доступ к чужому компу — позвони админу, он у себя кнопочку нажмёт, и по своей флешке зайдёшь.


    1. Scif_yar
      27.10.2018 18:31

      Вместо сложнейшего «qwerty123465» (все заметили перестановку цифр в конце, что делает пароль практически невзламываемым?)

      лол.
      берется радужная таблица от словаря и выгрузка хешей, и поехали.


  1. tcapb1
    26.10.2018 13:38

    Любой способ усложнения входа в систему — боль. Смена паролей, двухфакторная авторизация, флэшки и т.д. — добавляет ежедневного негатива в работе. Я стараюсь без крайней необходимости не заходить на сайты с двухфакторной аутентификацией. С одной стороны получить sms на мобильный не сильно сложно, а с другой стороны — дополнительное препятствие, которое надо преодолеть.

    Регулярная смена пароля решает один конкретный кейс: пароль утёк, и например конкурент может годами смотреть переписку руководства, финансовую деятельность и т.д. Если злоумышленник не совершает каких-либо сильно заметных действий, это может очень долго никто не замечать.

    Думаю, будущее за авторизацией по отпечатку пальца, радужке и т.д. И сотрудников не нужно мучать регулярными сменами пароля или 2FA, и кто попало не войдёт.

    За собой заметил, что в онлайн сервисах, которые требуют регулярную смену пароля, я вообще не утруждаю себя запоминанием этого пароля: либо вхожу каждый раз через «восстановить пароль» либо просто храню пароль в менеджере паролей браузера. Однако Яндекс Браузер мне на днях сделал пакость: было несколько запомненных логинов-паролей к одному сервису, и в один момент бац — и остался только один. Остальные исчезли. Ну и как доверять хранилкам паролей после такого?


  1. Punyaan
    26.10.2018 14:09

    К опросу.
    У меня есть 5-6 паролей зубодробительной сложности — использую ротацию этих паролей или их связки типа пароль1+пароль2.


  1. sammorganium
    26.10.2018 14:09

    Слава Богу, у меня такой проблемы нет! Все пароли впорядке, доступ к компу и к моей учетной записи только у меня:)


  1. SotnSoft
    26.10.2018 14:09
    +1

    В организации, it-инфраструктуру которой за восемь лет не смогли «взломать» ни разу, рекомендуемый пароль был написан на доске в каждой комнате. Персонал: от бабушек-уборщиц, до менеджеров-хипстеров, бородатых программистов и топов с золотыми айфонами — все они банально модифицировали этот пароль согласно своей методике. Да были разные проблемы, но подобрать пароль ни одному из аудиторов не удалось ни разу -а пароль-то вот он на стене! В это сложно было поверить: 6 топовых российских компаний, предлагающих иб-аудит, просто не смогли справиться со своими заявленными функциями, согласно заключенному договору. Это не значит, что проблем не было — внутренняя служба их периодически находила и решала, но внешний аудит руками огранизаций-завсегдатаев «хакерских дней и ночей» по факту оказывается слабым подобием реального хака. И внутренний аудит оказался покруче разрекламированных парней. Просто из-за системности подхода — безопасность это не только пароли, правильней сказать совсем не пароли. Пароля вообще может не быть.

    По своей сути пароли уже давно должны бы отмереть — на массовом рынке уже минимум пять лет существуют технологии позволяющие массово отказаться от них. В наши дни, когда стоимость незаметного получения чужой sms около полутора долларов, а реестра dns траффика произвольного ip около 50 за сутки, нужно просто понять, что безопасность сегодня «делается» иначе, чем озвучивается на конференциях. И пока орды свежеиспеченных «CEH» вклиниваются своими дырявыми микротиками в трафик, да и просто пользуются дефолтными паролями для доступа к провайдерскому оборудованию, ничто не мешает нормальным ИБ строить безопасные внутренние сети, давать безопасный доступ сотрудникам в интернет. Но, к сожалению, ИБ сегодня это бизнес. И делают его не очень компетентные лица с завышенным самомнением и избыточными полномочиями.


  1. John_Nash
    26.10.2018 14:09
    -1

    В среде ntlmV2 однозначно нужно менять пароли, если учитывать квалификацию большинства сисадминов. Это конечно не спасет, но может немного усложнить взломщику жизнь и замедлить его


  1. nick_gabpe
    26.10.2018 14:19

    Вообще, на мой взгляд, нормально менять пароль раз в большой промежуток времени: где-то раз в полгода. Даже используя нормальный шаблон всё будет в порядке. К тому же шаблон может быть, при грамотноим использовании криптостоким, например
    строка из песни измененная неким образом: wake me up when September ends — >w@k3M3upwh3nz3pt3Mb3r3ndz, (a->@, e->3, s->z m->M), а далее можно использовать другую песню (или любую строку) по схожему правилу.

    Если же менять слишком часто, то никто не будет «париться» и будут просто менять цифры. Но если менять слишком редко, то можно столкнуться со слитой базой причем не обязательно нашей базой, ведь люди часто ставят в нескольких местах одинаковый пароль невзирая на запрет.

    А вообще двуфакторная аутентификация рулит :)


    1. i0000
      26.10.2018 17:14
      -1

      рулят на самосвале… двухфакторная аутентификация просто достала, а уж «несесурность» ее выше всех возможных пределов. Заполучив доступ к телефону, ты можешь восстановить все аккаунты всех ресурсов, которые ты когда-либо посещал.


      1. Mad__Max
        27.10.2018 04:55

        Двухфакторная авторизация НЕ равно СМС с одноразовым паролем на телефон. Это только один из возможных видов ее реализации, причем действительно довольно плохой.

        А если есть восстановление доступа по СМС (без знания пароля) это вообще НЕ 2х факторная авторизация. Т.к. собственно фактор тут только один — доступ к телефону.


  1. i0000
    26.10.2018 17:12

    Очень подмораживают требования разных систем к индивидуальной сложности (по их мнению) паролей. Одному — гони букву, другому — спецсимволы низя, третьему — еще какой другой шаблон. Из-за этого понижается, а не повышается «сесурность» — вместо того, чтоб самому помнить свои пароли по индивидуальному алгоритму, приходится подстраиваться под эти причудливые механизмы.

    пользоваться пасс-менеджерами — давно уже перестал. это дополнительный негативный рубеж, хоть и менее раздражающий, чем пропагандируемое здесь «двухфакторная авторизация», когда без СМС сейчас простейшего действия не сделаешь.

    Ну вот скажите мне, идиоту несовременному, нафига на exist.ru смс подтверждение того, что сменил офис по умолчанию???

    это «мы заботимся о вашей безопасности» уже достало. правильно здесь сказали про пин-код из 4 цифр — при должной политике блокировок этого вполне достаточно. Тем более, что при такой параноидальной двухфакторной защите всего-всего через интернет можно запросто оплачивать покупки, просто зная ОТКРЫТЫЕ данные карты (СVV по какой-то непонятной причине — указан открытым текстом, а 3ds далеко не все получатели требуют, и тут получается зависимость от опции, установленной конкретным продавцом, а не от общей защиты системы)


  1. AndreyYu
    26.10.2018 18:17

    В банках со сменами паролей немного жестче. Приходится соответствовать рекомендациям ЦБ и постоянно быть готовым к разного рода аудитам, в т.ч. По части ай-ти. Приходится и вводить пароли из 10 символов с обязательной заглавной, цифрой и спец-символом и это встречает до сих пор шквал негодований пользова елей, которые и так не могут пин-код от карточки запомнить, так им каждые 3 месяца надо ‘опять’ сменить пароль на АД, на АБС, на контуры, фонды и прочие банк-клиенты. Это очень не удобно, но деваться некуда совсем. Игнорировать эти требования пебе дороже.


    Насколько было замечено любой взломостойкий пароль будет любым в меру длинным русским словом, записанным на англицской раскладке с большой буквы и одна цифра. Такие пароли без клавиатуры и мата не введешь просто так. Ну, и, удачи в брут-форсе :-)


    1. tcapb1
      26.10.2018 18:26
      +1

      У меня как-то был пароль из длинного русского словосочетания, записанного в английской раскладке. Он мне всем нравился, пока не пришлось срочно вводить этот пароль в тот момент, когда у меня кроме телефона под рукой ничего не было. Из-за подмены раскладки это было очень не быстро.


    1. Scif_yar
      27.10.2018 18:24

      Приходится соответствовать рекомендациям ЦБ

      PCI DSS не отменял никто


  1. shukan
    26.10.2018 21:15

    > Как вы придумываете новые пароли для входа в систему?
    Замечено, что Windows (или LDAP или кто там не знаю) хранит 6 последних паролей.
    Я меняю 6 раз на случайный (лучше записать на бумажке, чтоб не ошибиться)
    А на 7ой раз восстанавливаю свой старый добрый пароль.


    1. Kutak
      26.10.2018 22:26

      О, это годный лайфхак. Спасибо, что поделились.


      1. Scif_yar
        27.10.2018 18:28

        там есть настройка «не давать менять чаще чем раз в N'


        1. Kutak
          28.10.2018 03:38

          Да что ж это за закон жизни такой. На каждый хитрый лайфхак найдётся свой, ещё более хитрый лайфхак. С болтом.


          1. Scif_yar
            28.10.2018 10:40

            это не лайфхак, а MS best practice manual / white pages.
            то есть на экране английским по белому.


    1. John_Nash
      26.10.2018 23:49

      Сисадмины не догадались просто сделать 20, решили, что 6 будет достаточно


  1. tbl
    26.10.2018 23:17

    Можно еще на стороне безопасников брутфорсить пароли пользователей как по словарю, так и тупым перебором. Если нашли пароль, то принудительно сбрасываем его для пользователя и запоминаем в словарь, как ненадежный. Таким образом шаблонизация не поможет, т.к. алгоритм брутфорсера быстро напорется на легкую модификацию уже известного пароля.


    1. Scif_yar
      27.10.2018 18:23

      Можно еще на стороне безопасников брутфорсить пароли пользователей как по словарю, так и тупым перебором

      и такое делают. не просто можно, а «в работе»


  1. Anthony_K
    27.10.2018 02:29

    Смена пароля каждые N дней эквивалентна смене замка входной двери в квартиру каждые N дней.


  1. Jabberwocky
    27.10.2018 12:48

    Меняю пароль как носки в анекдоте — правый с левым. Админ совершенно не против, ибо смену паролей включил только под давлением вышестоящей инструкции.


  1. Scif_yar
    27.10.2018 18:28

    Одним из пропагандируемых способов «укрепления» этого самого периметра является, якобы, регулярная смена пароля пользователя, которая, по идее, должна уберечь от атаки вследствие слива БД и так далее.

    Матчасть учить мы вас попросим.
    docs.microsoft.com/ru-ru/sql/relational-databases/security/encryption/sql-server-encryption?view=sql-server-2017

    не паролями это регулируется.
    И приставить к каждому сотруднику надзирателя, который бы проверял уникальность каждого нового пароля невозможно.

    в 3-33 строки на поше по словарю это проверяется.