Управление паролями: краткое руководство

Пользователи зачастую не понимают важность использования сложных паролей. Вот несколько причин, почему они действительно необходимы.

Содержание

Сетевая безопасность

Из-за «слабых» паролей хакеры могут легко проникнуть в систему. Эту проблему нельзя игнорировать, так как у большинства IT-систем есть функция удаленного доступа.

Мониторинг

Аутентификация пользователей позволяет отслеживать, кто выполнял те или иные действия в системе.

Внутренняя конфиденциальность

Причиной нарушения конфиденциальности может стать использование общеизвестного пароля.

Неправильное отношение к паролям

Если вы давно в IT-бизнесе, то сталкивались с клиентами, которые несерьезно относятся к безопасности. Порой даже некоторые директора компаний настаивают на том, чтобы все пароли  были одинаковыми у всех сотрудников.

Если у вас есть такие клиенты, то приведенный ниже список «плохих паролей» станет отличным контраргументом для убеждения. Перечень часто используемых «плохих» паролей 2018 года, составленный SplashData:

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou
  11. princess
  12. admin
  13. welcome
  14. 666666
  15. abc123
  16. football
  17. 123123
  18. monkey
  19. 654321
  20. !@#$%^&*

Политика управления паролями

Чтобы компания была в безопасности, необходимо внедрить строгую политику управления паролями. Большинство IT-систем и серверов позволяют сетевым администраторам определять, насколько сложным должен быть каждый используемый пароль и как часто его значение необходимо менять.

При настройке этих параметров важно найти золотую середину между безопасностью и степенью сложности, с которой пользователи смогут совладать.

Национальный институт стандартов и технологий США (NIST) некоторое время назад пересмотрел свои рекомендации по реализации политики управления паролями. Самые актуальные советы:

  • Все для удобства пользователя

Модели управления паролями должны быть удобными для пользователей, а основная нагрузка должна лежать на верификаторах паролей.

  • Чем больше, тем лучше

Рекомендации определяют минимальное количество символов – 8, а максимальное – 64 символа. При этом значения паролей могут содержать печатные символы ASCII, Unicode (включая эмодзи).

  • Забудьте о правилах создания пароля

Не следует задавать шаблоны комбинаций символов в пароле. Пускай пользователи выбирают пароль свободно. Просто поощряйте использование более длинных значений.

  • Никаких подсказок

Часто люди используют очевидные подсказки для напоминания паролей, а это слишком рискованно.

  • Скажите «нет» истечению срока использования пароля

Теперь NIST утверждает, что пароли могут быть сброшены, только если на это есть действительно веская причина. Например, если пользователь забыл пароль, или система подверглась фишинговой атаке.

  • Не используйте SMS для двухфакторной аутентификации

SMS не должны использоваться в двухфакторной аутентификации 2FA. Это небезопасно: вредоносные программы могут перенаправлять текстовые сообщения, атаковать сети мобильной связи.

При разработке стратегии управления паролями учитывайте следующее:

  1. Обеспечьте достаточный уровень сложности используемых паролей, которые будет трудно взломать.
  2. Используйте отдельные пароли для каждой IT-системы: один для входа в систему, другой – для VPN, третий – для баз данных.
  3. Избегайте использования одинаковых или общеизвестных паролей.
  4. Дайте пользователям понять, что набор букв, цифр и знаков препинания не обязательно должен быть сложным.

Дополнительные советы

Менеджер паролей позволяет получить доступ ко всем системам из одного интерфейса. Это решить проблему сложных паролей. Пользователям нужно будет запомнить один сложный пароль вместо нескольких.

Используя Conditional Access, вы будете на шаг впереди от 2FA/MFA (многофакторной аутентификации). Модели Conditional Access ищут аномальные соединения, а затем устанавливают MFA, когда ситуация выходит за рамки заданных условий.

Управление паролями не должно быть рутинной работой. Достичь этого поможет общение с персоналом и соблюдение золотой середины между безопасностью и удобством.

Данная публикация представляет собой перевод статьи «Password management—A quick best practice guide» , подготовленной дружной командой проекта Интернет-технологии.ру

Меню