Парольная политика организации

• Что такое политика паролей
• Какие настройки учитывает парольная политика
• Способы управления парольной политикой
• Заключение

Что такое политика паролей

Корпоративная политика в отношении паролей — это набор правил, которые помогают сотрудникам компании создавать надежные пароли и правильно их использовать для повышения информационной безопасности. Она определяет требования к паролям и действия, которых следует избегать при работе с ними.

Чтобы политика парольной защиты была надежной, нужно:

• сформулировать четкие требования к созданию паролей;
• обязательно соблюдать их всем коллективом, в том числе и руководителями;
• проводить регулярное обучение персонала правилам ИБ и объяснять важность паролей;
• своевременно обновлять политики с учетом изменений в компании и новых угроз безопасности.

Хорошая политика в отношении паролей — та, которую сотрудники могут понять и применять каждый день. В зависимости от потребностей организации она может быть рекомендательной или обязательной.

Важно: одного обучения недостаточно — нужно предоставить технические средства, которые помогут пользователям соблюдать политику (например, инструменты для создания и хранения паролей) и контролировать соблюдение правил.

Какие настройки учитывает парольная политика

Политика паролей должна обеспечивать баланс между безопасностью и удобством. Слабая политика делает данные уязвимыми, а слишком строгая — раздражает пользователей и может привести к тому, что сотрудники будут игнорировать правила.

Требования к сложности

Длинный и сложный пароль наиболее надежен.

• Длина должна быть не менее 8–10 знаков, а лучше — больше.
• Необходимо применять как прописные, так и строчные буквы, а также цифры и специальные знаки.
• Не нужно использовать простые замены букв на цифры («Pa$$w0rd» — плохой вариант).

Совет: использование бессмысленного предложения, фразы из песни или книги в качестве пароля (например, «СолнцеСветитЯрко@Утро2025») делает его более запоминающимся и при этом безопасным — при условии, что он соответствует всем остальным рекомендациям.

Чего избегать в паролях

Помимо того, что пользователи должны делать, в политике паролей также должно указываться, чего делать нельзя. В списке может быть следующее:

• Не использовать словарные слова.
• Личную информацию (имя, дату рождения, место рождения, должность, телефонные номера, номера домов или улицы, имя супруга или детей).
• Простые шаблоны, например QWERTY, asdfgh или 123456.
• Нельзя использовать простые изменения (добавление цифры или символа) в старых паролях. Например, вместо Password123 сделать Password123!. Новые пароли должны соответствовать требованиям сложности.

Также нужно запретить использование одного и того же пароля в нескольких учетных записях.

Интересно: статистика показывает, что многие люди пренебрегают этими правилами:

• 68% пользователей применяют одинаковые пароли, потому что боятся их забыть.
• 52% пользователей делают это, потому что им так удобнее.
• 36% пользователей считают, что их аккаунты недостаточно важны для взлома.

Срок действия

Для повышения безопасности нужно менять пароль через определенное время. Как это обычно происходит:

• в настройках безопасности администраторы устанавливают срок действия паролей, например 90 дней;
• система автоматически отслеживает этот срок для каждого пароля и хранит информацию о дате последней смены;
• за некоторое время до истечения срока (например, за 7 дней) пользователи начинают получать уведомления о необходимости сменить пароль. Это могут быть сообщения в корпоративном мессенджере, по электронной почте, всплывающие окна при входе в систему.

Атаки методом перебора и атаки по словарю могут взломать простые пароли. Поэтому политика должна требовать от пользователей создания сложных паролей, чтобы защитить учетные записи от взлома.

Staffcop Enterprise позволяет гибко настраивать правила безопасности в соответствии с потребностями вашей компании. Программа может блокировать запуск опасных программ, защищая от кражи паролей и доступа к системе, и контролирует доступ пользователей к важным данным. Если возникнет инцидент, связанный с безопасностью, Staffcop Enterprise поможет быстро его расследовать.

Способы управления парольной политикой

Управление паролями и их защита при хранении и передаче — критически важная часть корпоративной безопасности. Вот основные моменты, которые следует включить в политику.

Установите смену пароля при первом входе в систему

При первом доступе к корпоративной системе или приложению новый сотрудник или пользователь получает временный пароль. Чтобы защитить данные и аккаунт, необходимо требовать обязательной смены пароля при первом входе. Пользователь вводит временный пароль, а затем создает свой новый, соответствующий парольной политике.

Это нужно по нескольким причинам. Во-первых, пароль, который придумал сам сотрудник, он лучше запомнит и ему реже придется его восстанавливать. Во-вторых, пароли по умолчанию, которые выдает система, обычно слабые и их легче взломать.

Примените многофакторную аутентификацию

MFA значительно повышает безопасность учетных записей. Это связано с тем, что хакеры не смогут получить доступ к аккаунтам, даже если завладеют логинами и паролями к ним.

Таким образом, политика в отношении паролей должна обязывать пользователей использовать многофакторную аутентификацию для всех учетных записей, поддерживающих эту функцию.

При включенной MFA для подтверждения личности сотрудника требуются дополнительные данные в дополнение к имени пользователя и паролю, например отпечаток пальца, сканирование лица, код из SMS или аппаратные токены.

Укажите порог блокировки учетной записи

Это означает, что учетная запись будет автоматически заблокирована после определенного количества неудачных попыток входа. Эта мера защищает от атак методом перебора и атак по словарю.

Обычно для стандартных пользовательских аккаунтов достаточно блокировки на 30–60 минут. Но для учетных записей с доступом к важной инфраструктуре или расширенными правами нужно предусмотреть ручную разблокировку администратором.

Добавьте рекомендации по хранению паролей

Многие сотрудники по привычке записывают пароли на стикерах, в блокнотах или заметках на телефоне. И это плохая практика. Так пароли становятся ненадежными, даже если они длинные и сложные.

Поэтому политика должна включать рекомендации по безопасному хранению учетных данных. Один из способов — использовать менеджер паролей. Это программа, которая помогает шифровать и надежно хранить все пароли пользователя под защитой одного мастер-пароля.

Менеджеры паролей могут создавать сложные и уникальные комбинации в пару кликов. Они позволяют безопасно делиться паролями с коллегами, когда это необходимо. Еще одна полезная функция — автозаполнение, когда учетные данные автоматически вводятся на сохраненных сайтах.

Эта функция не только упрощает работу пользователя, но и обеспечивает защиту от фишинговых атак. Фишинговый сайт, как бы он ни был похож на оригинальный, не будет иметь тот же URL-адрес, что и оригинальный. Поэтому менеджер паролей не будет автоматически вводить сохраненные учетные данные.

Установите последствия для нарушителей политики

Политика использования паролей — важный документ для обеспечения безопасности организации. Он служит руководством на случай, если возникнут сомнения в правилах использования и управления паролями.

Но политика будет бесполезна, если она не соблюдается. Поэтому в документе должно быть описано, как вы намерены обеспечивать соблюдение правил, и изложены последствия умышленного нарушения политики (выговор, лишение премии и т. д.).

А еще лучше сосредоточиться на мерах, которые в первую очередь предотвращают нарушения. Этого можно добиться, если регулярно проводить тренинги по информационной безопасности и следить за тем, чтобы сотрудники понимали не только правила, но и их цели.

Заключение

Парольная политика информационной безопасности устанавливает базовые правила создания и использования паролей, но она не защищает от утечек, вызванных фишингом или социальным инжинирингом. Программа Staffcop дополняет эти политики, отслеживая активность пользователей и выявляя подозрительное поведение. Она уведомляет о возможных угрозах и помогает расследовать инциденты ИБ.