Как вам уже известно, Microsoft поменял своё руководство по политикам срока действия паролей. В мае 2019 года они разместили пост в своем блоге с пояснениями этого решения.
Эксперты в сфере кибербезопасности знают, что среднестатистический человек имеет пароль, который удобно вводить, и поэтому его легко подобрать компьютеру. При этом необходимость его смены раз в несколько месяцев не меняет того факта, что такие пароли легко подобрать. Мощность современных компьютеров позволяет подобрать перебором пароль длиной в 8 цифробуквенных символов за несколько часов. Смена одного или двух символов из этих восьми не сделает задачу сложнее.
С момента выхода рекомендаций Microsoft прошло уже достаточно много времени и самое время сделать выводы, стоит ли совсем избавиться от срока действия паролей? На самом деле не всё так просто.
Политика срока действия паролей является всего лишь одним из кирпичиков в стене кибербезопасности. Не стоит доставать один из кирпичей стены, если у вас нет других методов защиты для компенсации такого действия. Поэтому лучше всё же сконцентрировать внимание на самых крупных факторах риска в организации и проработать стратегию кибербезопасности таким образом, чтобы сократить именно их.
Зачем избавляться от политик срока действия паролей?
Аргументация Microsoft по этому вопросу заключается в том, что политики срока действия паролей несут малую ценность с точки зрения информационной безопасности. В результате они больше не рекомендуют их применение и исключили этот элемент из структуры фундаментального уровня кибербезопасности от Microsoft.
Но Microsoft не просит отключить все ваши политики паролей сиюминутно. Они лишь информируют, что вашей стратегии ИБ нужно что-то большее, чем просто истечение срока действия паролей.
Стоит ли удалять политику паролей?
Большинству организаций следует оставить политику срока действия паролей без изменений. Подумайте над следующим простым вопросом: что будет, если у пользователя украдут пароль?
Политики паролей помогают снизить напор атакующего, заблокировав его жизненно важный канал доступа внутрь сети. Чем короче срок действия пароля, тем меньше остаётся времени на компрометацию системы и вывод данных (если только атакующий не воспользовался другой точкой входа). Microsoft считает, что всё те же политики, нацеленные изначально на исключение скомпрометированных паролей из ротации, по факту только поощряют плохую практику – например, повторное использование и слабую итерацию (vesna2019, leto2019, zima2019) паролей, шпаргалки на мониторах и т.д.
Словом, в Microsoft верят, что риск от плохих практик использования паролей на самом деле выше, чем выгода от внедрения политик по сроку действия. Мы в Varonis отчасти с этим согласны, но на самом деле существует сильное недопонимание того, что требуется компании для готовности к отказу от таких политик.
Данное изменение сильно повышает удобство работы пользователям и его легко внедрить, но в итоге есть вероятность только увеличить общие риски, если вы не следуете другим лучшим практикам в индустрии, таким как:
- cекретные фразы: форсирование длинных (16 и более символов) и комплексных паролей повышает сложность их взлома. Старый стандарт в минимум 8 символов взламывается за несколько часов на современных ПК.
- модель минимально необходимого доступа: в мире, где постоянство никогда не нарушается, критично знать, что пользователь имеет доступ лишь к минимально необходимому объёму данных.
- отслеживание поведения: вам необходимо уметь детектировать компрометацию аккаунта на основе отклонений от нормального входа в систему и нестандартного использования данных. Один лишь анализ статистики в данном случае не поможет.
- многофакторная аутентификация: даже если атакующий знает имя пользователя и пароль, многофакторная аутентификация является серьёзным препятствием для среднестатистического злоумышленника.
Пароли наконец-то отмирают?
В этом и заключается основной вопрос, не так ли?
Есть несколько технологий, стремящихся заменить пароли как протокола аутентификации де факто. FIDO2 хранит идентификационные данные на физическом устройстве. Биометрия, несмотря на сомнения касательно «уникальности, но отсутствия конфиденциальности», также является потенциальным вариантом.
Новая парадигма заключается в поиске методов аутентификации, которые нельзя случайно передать или легко украсть. Но пока что такие технологии не пробились из корпоративного
сектора в мейнстрим. До этих пор, Varonis рекомендует оставить ваши политики срока действия паролей без изменений, а неудобство пользователей считать небольшим во имя общего блага.
Как Varonis помогает защититься от кражи учётных данных
Varonis предоставляет дополнительную защиту для усиления ваших политик паролей. Мы отслеживаем файловую активность, события в Active Directory, телеметрию периметра и другие ресурсы для построение базовой модели поведения пользователей. Затем сравниваем её с текущим поведением на базе встроенных моделей угроз чтобы понять, не скомпрометирован ли аккаунт. Дэшборд Active Directory показывает учётные записи, которые подвержены риску компрометации, такие как сервисные учетные записи с административными привилегиями, паролем без срока действия или вообще не требующих соответствия заданным в политиках требованиям. Модели угроз также выявляют различные варианты аномалий входа в систему, таких как вход в нестандартное время суток, вход с нового устройства, потенциальная брутфорс- или ticket harvesting атака.
До этих пор, лучше всё же оставить ваши политики срока действия паролей на месте.
А если вы захотите посмотреть Varonis в действии, запишитесь на нашу живую демонстрацию кибератак. Мы покажем, как проводить атаку, и продемонстрируем способы обнаружения и расследования таких инцидентов на базе нашей платформы.
Комментарии (19)
Caracat
11.11.2019 13:37Когда громогласно заявляют о нестойкости коротких паролей к перебору нынешними средствами, неявно приравнивают ее к нестойкости системы к несанкционированному доступу. Простые меры по блокировке возможности доступа на некоторое время после нескольких неудачных попыток (а то и с баном по ip) сильно меняют картину.
DrPass
11.11.2019 13:46Ну так под перебором вообще не подразумеваются попытки аутентификации. Отзывчивость любой системы хотя бы в десяток миллисекунд достаточна, чтобы сделать перебор даже восьмисимвольного пароля таким способом нереальным. Под взломом путём перебора подразумевается «стащить файл/дамп с хешем пароля и подбирать его локально»
Caracat
11.11.2019 14:07Тут я с вами согласен. Но когда шифруют диск/файл, как правило, отдают отчет в ценности информации и пароль подбирают соответственно. Впрочем под ударом могут быть давние архивы, когда короткий по нынешним меркам пароль считался приемлемым.
Dotarev
11.11.2019 15:22А чем поможет политика смены пароля, если файл был зашифрован год назад? Или при смене пароля все архивы шифруются заново?
vesper-bot
11.11.2019 15:47Файлы шифруют обычно коротким симметричным ключом, который уже зашифрован функцией от пароля, возможно, с использованием асимметричного шифрования — зависит от реализации. При смене пароля заново шифруются только ключи доступа к файлам, чаще всего их один на всю ФС с шифрованием. Т.е. политика все-таки поможет, но атаковать можно ещё пароль recovery, который пусть обычно и длиннее, но не подлежит устареванию.
GeBoN
11.11.2019 15:04Под взломом путём перебора подразумевается «стащить файл/дамп с хешем пароля и подбирать его локально»
Ну как бы «стащить» уже подразумевает наличие доступа, не?
wyfinger
11.11.2019 17:22Если говорить не не логине в систему, а о каком-то сервисе, не стоит забывать, что к вам может прийти пользователь, которому ваш сервис нужен один раз — не стоит его грузить сложным паролем. Помню когда открывался магазин jd.ru я пытался там зарегистрироваться, но там были дебильные настройки, не позволяющие скопировать поле «пароль» в поле «повтор пароля» (это кстати отдельный вопрос, неужели они действительно думали я этот пароль буду пытаться запомнить), взбесили и я не стал регистрироваться.
Реально — ну уведут у меня аккаунт от магазина, карта не привязана, ну я особо не расстроюсь, что же говорить о более «простых» сервисах.
Отдельно бесят пароли в Win10 (где пароль под звездочками можно увидеть пока держишь нажатой кнопку глазика — «поубывал бы...».
Поясните пожалуйста, если даже у вас не веб-сервис, а программа, например WinRar, насколько я помню там при вводе пароля его правильность сверяется с многократным хешом (вроде sha(sha(sha(...sha(psrw)...). Можно ли свести многократный хеш к одному? Радужные таблицы в этом помогают? Может есть специально заточенные функции, которые дорого подбирать.
duronus
12.11.2019 05:17Можете меня запинать, но на мой взгляд постоянная смена пароля в современном мире не имееет смысла от слова вообще, ибо перебором паролей занимаются только боты, реально нужные пароли в 99% уводятся либо через фишинговый сайт либо человек сам его скажет. А если пароль уже утек то какой смысл его менять через месяц? на том же серваке злобный хацкер уже сделал себе backdoor и ты хоть обменяйся этими паролями
DrPass
Вообще, здесь и обратная сторона медали есть. Пользователи, пароли которых имеют короткий срок действия, практически всегда их шаблонизируют. При этом злоумышленнику достаточно поменять одну-две цифры, чтобы получить новый пароль. Ещё хуже слишком длинные пароли и парольные фразы, они во многих случаях просто записываются на бумажках, независимо от того, какие кары вы пообещали пользователям за это в вашей корпоративной инструкции по безопасности.
GeBoN
Пропробуйте подобрать «CtvbLtcznbGznbVbkkbvtnhjdsQ»?
А это всего лишь классический «СемиДесятиПятиМиллиметровыЙ».))
А есть еще А.С.Пушкин, который «наше всё» — что мешает забить в пароль «Мой! Дядя@Самых#Честных$Правил»? Ну и добавить еще туда пару памятных цЫфр — типа номер первой квартиры, школы, группы в институте.
20ivs
Эта идея хороша всем, кроме одного — попробуйте ввести такой пароль с мобильного устройства.
GeBoN
Отпечаток пальца или по фейсу ))
dartraiden
— Можно! Я, правда, не знаю, как они будут действовать. Но человека можно напоить.
— Угу.
— Усыпить.
— Угу.
— Оглушить. Ну, в общем, с бесчувственного тела. Наконец, с трупа…
— Угу. С чьего трупа?!
— Ну, я уверен, что до этого не дойдёт!
JustDont
Просто не надо выпендриваться вещами типа «вводим русский текст в английской раскладке». Вводить текст в правильной раскладке ничего не мешает. Словарный подбор предотвращают намеренные опечатки или часть пароля, не являющаяся словом.
GeBoN
Ну общем-то вход с мобильного устройства априори не может быть безопасным, какой бы пароль не использовался.
erty
Это и есть шаблонизация. Да ещё все слова словарные. То что словарь не английский, а русский увеличивает количество вариантов для перебора всего в два раза.
Фактически, имея профиль привычек пользователя (Он делает большими первые буквы слов пароля и последнюю), подобрать пароль становится не сложнее, чем если бы он использовал одно единственное словарное слово.
GeBoN
Чтобы иметь профиль пользователя надо быть с ним достаточно близким, это уже уровень «Джеймса Бонда».
Кончено есть любители все отправлять в инет, но, как правило, такие люди не имеют доступа к инфе имеющей серьезную ценность.
Squoworode