.svg "www.staffcop.ru")
Какими должны быть пароли для защиты аккаунтов
Чем разнообразнее и многофункциональнее становятся устройства, которыми мы пользуемся, тем изощреннее попытки мошенников нажиться на проникновении в них. Но мошенники — народ ленивый, и в этом наше спасение.
Один из самых распространенных видов мошенничества — взлом компьютера, эккаунта, доступа к электронным хранилищам, серверам, рабочим местам администратора и т. д. Есть различные методы, позволяющие выудить из наивного или тревожного пользователя пароль: написать письмо от сервисной службы о взломе системы с просьбой сообщить свой пароль для восстановления данных, подсунуть фальшивое окно регистрации и т. п. Здесь правило одно: не верьте, перепроверяйте и не ведитесь. Настоящая администрация серьезного ресурса никогда не будет спрашивать пароли. Второй способ проникнуть через регистрационный барьер — подобрать пароль с помощью технологии Брутфорс методом перебора различных комбинаций. Как вы думаете, за сколько времени можно подобрать ваш пароль?
Например, пароль, содержащий 8 цифр даты рождения (только цифры), подбирается за 1–2 секунды. Имя в качестве пароля — чуть дольше. Если используются строчные и заглавные буквы — это на порядок усложняет подбор, но все-таки речь идет о минутах. Если пароль содержит строчные буквы и цифры, то на его подбор уйдет несколько дней. Пароль типа «NK6-iSPNR» будет подбираться несколько лет. А пароль, в котором больше 10 символов разного типа, может потребовать для расшифровки нескольких миллионов лет.
Вывод прост: сложный пароль — защита от многих неприятностей такого рода. Какой пароль можно считать достаточно сложным?
Основные требования к паролям:
- Пароль должен быть максимально длинным (как минимум, 12–14 символов) и сложным, случайным. Не должно быть никакой информации, которую можно угадать: имена, дни рождения, номера телефонов, номер страховки, клички любимцев, паспортные данные, личные идентификаторы и пр.
- Не должно быть символов, идущих подряд на клавиатуре.
- Есть четыре группы символов, которые используются в паролях: латинские прописные буквы, латинские строчные, цифры, неалфавитные символы. Для хорошего пароля требуется, чтобы в нем были символы, как минимум, из трех групп.
Сложные пароли трудно запоминать, и возникает искушение придумать один сложный пароль, выучить его и использовать во всех эккаунтах. Чем опасна такая ситуация? Если вы регистрируетесь на маленьком сайте, который не имеет ресурсов для защиты, ваш эккаунт легко взломать, а, следовательно, получить доступ к электронной почте и другим эккаунтам. Согласитесь, неприятно лишиться сразу всех электронных ресурсов и конфиденциальных данных и личной переписки, которые там имеются. Эти данные можно использовать, например, для оформления кредита на ваше имя.
Как запомнить длинный и случайный пароль?
Можно, например, придумать кодовую фразу и запомнить от нее первые буквы. При этом не брать дежурную фразу, которую легко подобрать. Но лучше всего, если пароль бессмысленный.
Наиболее современное решение — использовать менеджер паролей. Чаще всего они либо бесплатные, либо недорогие. Его функция заключается в генерации сложных паролей и хранении их под защитой главного пароля, который называется «мастер-пароль». То есть не нужно запоминать десятки паролей, а только пароль от менеджера паролей. Менеджер паролей и один пароль ко всем эккаунтам — это не одно и то же, поскольку это всего лишь пароль от места хранения. Выбор менеджера паролей — задача серьезная, изучите максимум информации о нем, прежде чем сделать выбор. Практика показывает, что взлом менеджера паролей происходит крайне редко. И даже после взлома менеджера паролей злоумышленник не получит доступ ко всем паролям, так как здесь применяется дополнительное шифрование.
В крупных организациях имеются регламенты, регулирующие действия по парольной защите. Они, как правило, включают следующие требования:
- Личные пароли генерируются и распределяются централизованно, либо сотрудник сам его придумывает, соблюдая требования, о которых мы писали выше.
- При смене пароля новый пароль должен отличаться от предыдущего, как минимум, 6 символами.
- Пароли для обычных пользователей должны быть не короче 8 символов, для SNMP Community Strings — не менее 10 символов, для сервисных идентификаторов — не менее 14 символов, для администраторов — не менее 15 символов.
- Периодичность смены паролей: административные — раз в два месяца, пользовательские — раз в три месяца, сервисные — раз в полгода, Shared keys SNMP Community Strings — раз в год. Также пароли должны меняться в случае увольнения сотрудника или его перемещения на другую должность.
- Не следует хранить или передавать пароли в незашифрованном виде по интернету, локальной сети, электронной почте. Не хранить в виде файла в компьютере. Не отправлять по почте.
- Не стоит пароли записывать на бумагу, в память телефона, нельзя проговаривать вслух. Тем более нельзя хранить на стикере, прикрепленном к компьютеру или под клавиатурой.
- Передавать пароли нельзя никому и никогда. Передача пароля может считаться нарушением режима конфиденциальности, сотрудник, допустивший его — подвергнуться штрафу или иным санкциям.
- В любых программах и браузерах запрещается пользоваться функцией «Запомнить пароль».
- После пользования паролем с чужого компьютера, из мест общего доступа пароль подлежит замене. С таких компьютеров запрещается входить в интернет-банкинг или в эккаунт платежных систем.
Компании устраивают проверки паролей путем учебной атаки. Также службы безопасности проводят контроль соответствия паролей требованиям (если это не проверяется автоматически при смене пароля): они просят сотрудника назвать пароль и вводят его. После такой процедуры пароль немедленно должен быть сменен.
Каким образом осуществляется защита от взлома? Настройки безопасности информационных систем должны быть таковы, что после 3–5 неверных попыток набрать пароль учетная запись должна блокироваться не менее, чем на 15 минут. В особо критичных случаях предусмотрена специальная процедура разблокирования. Пароль не должен отображаться на экране явно. Ну и, конечно, при первоначальном вводе пароля система должна запросить повторное его введение. Кроме того, принимаются меры, чтобы обратить внимание сотрудника на раскладку: пароли вводятся, как правило, латиницей.
Особо ответственно нужно подходить к паролям сервисных ученых записей. Они никогда не хранятся целиком. Их разбивают, как правило, на две части, каждая из которых составляет не менее 7 символов. Требования к сложности пароля такие же, как и для пользователей, администраторов и пр. Части пароля хранятся в сейфе в разных конвертах, защищенных от просвечивания. Ответственные лица регулярно проверяют, на месте ли конверты, и не повреждены ли они. Обновление пароля или его вскрытие фиксируются в специальном журнале. Определяются ответственные лица, которые имеют доступ к конвертам и имеют право их вскрывать.
Смена паролей в организации совершается по установленному регламенту. Это происходит периодически, согласно утвержденным срокам, или если есть подозрение, что пароль скомпрометирован. В таком случае нужно как можно быстрее поменять пароль, поставить в известность техподдержку и сообщить службе информационной безопасности. Если сотрудник увольняется или его переводят на другую должность, пароль меняют технические специалисты.
Пароли хранятся в запечатанном конверте в сейфе, к которому имеет доступ руководитель подразделения или сотрудник службы безопасности. Это единственный допустимый вариант хранения паролей в записанном виде. Делается это для того, чтобы в экстренных случаях можно было получить доступ к компьютеру сотрудника. Обычно устанавливается временной интервал, в течение которого нужно передать новые пароли на хранение. При этом старые пароли уничтожаются. Если сотрудник отсутствует на рабочем месте более 60 дней, его учетная запись блокируется. О наступлении необходимости такой блокировки службе безопасности сообщает кадровая служба. Учетные записи уволенных сотрудников удаляются.
Как система Staffcop Enterprise может помочь в непростом деле защиты паролей? Во-первых, гибкая настройка политик безопасности позволяет оградить внутреннюю сеть от проникновения вредоносных программ. Например, программа может просигнализировать в случае запуска программы, помещенной в черный список. А в случае возникновения инцидента Staffcop предоставляет все возможности для его расследования.
Для хищения данных, проникновения во внутренние сети и других неблаговидных действий злоумышленники склонны ходить проверенными путями, рассчитывая на наивность и доверчивость пользователей. Следуя несложным правилам безопасности и проявляя бдительность, вы защитите себя от большинства рисков.