Блог компании Crossover
Информационная безопасность
Управление персоналом
25 октября

Руководители, хватит сбрасывать пользовательские пароли раз в месяц


День смены паролей, офис в городе Энске, реконструкция, цвет

Если эта статья не проделала брешь в пространственно-временном континууме, то на дворе 2018 год, а в большинстве крупных организаций до сих пор меняют пароли каждые 30-90 дней. Тема того, что принудительная постоянная смена паролей лишь снижает секьюрность, но никак ее не повышает, поднималась на Хабре уже много раз (1, 2, 3), но в них, обычно, обсуждались частные случаи, а в комментариях пользователи активно делились опытом, как они защищают свои собственные учетные записи.

То что связка условного KeePass+токен, присыпанная двухфакторной аутентификацией намного надежнее, чем условная смена паролей раз в 30-90 дней, понятно и без объяснений. Но как метко заметил один из комментаторов в прошлых публикациях, зачастую инициатива на подобные «эффективные» меры исходит с самого верха организации, а спорить с генеральным директором без достойных аргументов себе дороже. Поэтому я решил попробовать доступно разложить, откуда растут ноги столь распространенной и одновременно неэффективной практики, какие им существуют альтернативы и с чем они сопряжены. Возможно, после прочтения этой статьи некоторыми руководителями, работать в отдельных компаниях станет немного лучше.

Чем опасна регулярная смена паролей


Пароль сам по себе — средство защиты не слишком стойкое ко взлому. Именно поэтому сейчас на рынке есть многочисленные средства двух или даже трехфакторной аутентификации, различные токены, флешки и прочие ухищрения, которые укрепляют периметр и снижают вероятность взлома и получения доступа к конфиденциальным данным или учетной записи. Одним из пропагандируемых способов «укрепления» этого самого периметра является, якобы, регулярная смена пароля пользователя, которая, по идее, должна уберечь от атаки вследствие слива БД и так далее. Все эти рекомендации упускают, в первую очередь, эффект шаблонизации, который я подробно описывал несколько лет назад.

Если кратко: постоянная принудительная смена паролей приводит к выработке человеком шаблона не только запоминания текущего пароля, но и его генерации, что описали в научной работе исследователи из США еще в 2010 году.

Вместо бесконечного запоминания «стойких паролей с переменным регистром и спецсимволами» пользователи начинают их банально записывать или использовать шаблоны. И приставить к каждому сотруднику надзирателя, который бы проверял уникальность каждого нового пароля невозможно.

Откуда о смене паролей узнают руководители


Если немного помучить поисковик, то можно найти массу публикаций и даже служебных документов на тему информационной безопасности. Некоторые из них пахнут нафталином, другие — чуть более бодрые и рассказывают об опасности «атак изнутри» и социальной инженерии в ходе взлома. Всех их объединяет пункт «периодическая смена пароля», который чаще всего начинается со слов вида «не стоит забывать о таком простом и эффективном способе».

Для того, чтобы не быть голословным, приведу пару примеров того, как в отечественной литературе (в том числе учебной!) и статьях рекомендуют использовать периодическую смену паролей:



Это скриншот из УМК по инфобезу 2008 года издания. В нем авторы признают слабость пароля как средства защиты и призывают обеспечивать информационную безопасность через регулярную принудительную их смену и еще ряд менее бесполезных мероприятий, таких как защищенные каналы передачи данных, к примеру.

Также в сети предлагается масса платных семинаров и тренингов для «менеджеров и руководителей» по обеспечению информационной безопасности предприятия. Если абстрагироваться от IT-сегмента и представить, что инфобезом озаботился директор или владелец предприятия, производящего, например, газосиликатные блоки или другую промышленную продукцию, то скорее всего, информацию он почерпнет как раз из открытых источников или посетит один из «повышающих квалификацию» семинаров.

Я не критикую на корню подобные мероприятия, нет. Конечно, там дается и полезная информация о поведении в сети, ограничении прав доступа, своевременном обновлении систем и администрировании. Возможно, там учат прописывать регламенты и выстраивать простейшие периметры информационной безопасности на базе создания «режима» на объекте. Однако со 100% уверенностью можно констатировать, что нелюбимая нами мантра «заставляйте сотрудников менять пароль раз в 30 дней» звучит на подобных мероприятиях регулярно.

Если задуматься, то можно сделать один простой вывод: ведь подобную политику позволяют проводить средства администрирования Windows. Фактически, регулярная смена паролей в корпоративной сети — это стандарт, созданный много лет назад из лучших побуждений, который продолжает существовать по инерции. Если копнуть чуть глубже, можно увидеть, что регулярную смену паролей широко используют не только для продуктов Microsoft, которые поставляют эту механику «из коробки». Практика смены паролей была успешно экстраполирована на другие продукты, например, на «зоопарк» софта 1C. Фактически, администраторы по всему СНГ уже минимум десятилетие насилуют мозг и себе, и бухгалтерам/продажникам, исполняя наставления руководства по «обеспечению безопасности».

При этом специалистов, которые призывают отказаться от регулярной смены паролей и пропаганды невозможных к запоминанию комбинаций, который год успешно игнорируют. Например, около двух лет назад против постоянной смены сложных паролей выступил глава нового центра национальной кибербезопасности при штаб-квартире Соединенного Королевства Мартин Чиаран. Он раскритиковал практику постоянной смены паролей и советы использовать сложные пароли для разных сервисов, сравнив это с ежемесячным запоминанием 600-значного числа. По мнению Чиарана, намного безопаснее использовать либо менеджер паролей, либо единый сложный для взлома, но возможный к запоминанию пароль.

Возможно ли переубедить руководство?


Путей переубедить руководителя, далекого от современного мира IT в том, что регулярная смена паролей — дикая дичь, не так уж и много.

Стоит понимать, что данная практика получила столь широкую популярность по двум причинам:

  1. Это дает ложное чувство безопасности и закрывает для руководителя вопрос «защищенности» рабочих станций сотрудников.
  2. Это относительно быстро и бесплатно.

Если со всех сторон, в прессе, на семинарах и так далее твердят десятилетиями, что смена пароля — хорошая затея, это отложится в памяти руководителя. Вкупе со вторым пунктом, когда все расходы на разверстку «периметра» в виде смены паролей ограничиваются тем, что нужно лишь озадачить этим системного администратора, который все сделает за один день, все становится вдвойне приятнее и проще.

Ни один руководитель компании средней руки не согласится на закупку токенов или других физических средств защиты рабочих станций, когда есть бесплатная альтернатива в виде принудительной смены паролей. Очевидный сценарий в этом случае один: объяснить несостоятельность подобной практики и предложить альтернативу.

Чем опасна регулярная смена пароля:

  • пароли начинают записывать на бумажках/в ежедневниках/клеить стикеры на монитор;
  • пароли шаблонизируются (меняется несколько символов в начале или конце пароля);
  • пароли слишком сильно упрощаются, даже при наличии минимального ограничения по символам.

Можно почувствовать, что все основные угрозы, создаваемые регулярной сменой пароля относятся к внутреннему нарушению ИБ и периметра, то есть лежат в плоскости социальной инженерии. Удаленный хакер из Нигерии никогда не подсмотрит пароль, который записан на бумажке и спрятан под клавиатуру. А вот случайно зашедший сотрудник конкурента или вредитель из коллектива — запросто.

Единственная реальная альтернатива для обеспечения безопасности внутреннего периметра — использование принципа «одна станция — один человек», оперативное консультирование и поддержка персонала в случае блокировки рабочей станции по таймауту, выстраивание политик доступа внутри самой сети и введение ответственности за разглашение/передачу пароля от учетной записи. Последнее очень красиво вписывается в моду последних лет по любому поводу подписывать с сотрудниками и подрядчиками NDA, так пусть хоть раз это будет оправдано.

Банковский сектор как пример для подражания


Большинство руководителей в вопросах информационной безопасности внутри офиса относятся к работникам, как к собственности компании, то есть им, якобы, не нужна поддержка. Однако если рассмотреть структуру внутреннего периметра по примеру обеспечения безопасности данных в виде «Сервис-Клиент» в банковских структурах, то все становится намного понятнее.

Задумайтесь: пин-код от банковской карты составляет всего 4 символа, однако никто не кричит о том, что он «слишком короткий» и простой для взлома. Банально потому что для пластиковых карт существует ограничение на количество попыток ввода, плюс клиент может оперативно заблокировать свою карту в случае, если он заподозрил утечку данных (скриммер) или потерял карту. И пользователи активно пользуются этими возможностями, потому что заинтересованы в соблюдении мер безопасности и знают, что смогут оперативно выполнить данные операции.

То есть, если ваше руководство озаботилось созданием внутреннего регламента и обеспечением реальной информационной безопасности компании, то до него стоит донести факт того, что все сотрудники в этот момент становятся «клиентами» IT-службы организации, которая будет заниматься их поддержкой. Чаще всего эта роль ложится на системных администраторов, которые и так обеспечивают бесперебойное функционирование IT-систем организации. И чем серьезнее меры безопасности, тем больше расходы на штат и инфраструктуру. Но почему-то об этой простой истине принято умалчивать.

Так что мне делать?


До руководства надо донести одну простую мысль: не бывает бесплатной информационной безопасности, бесплатно можно создать только видимость активности в этом направлении. Во всех прочих случаях возрастают расходы либо на штат системных администраторов (если в штате брешь, то вырастут простои на местах), которые будут оперативно реагировать на проблемы пользователей и смогут выстроить грамотную систему прав и доступов, либо требуется закупка токенов, которые выдают временные пароли/по которым происходит доступ к системе.

Относительно бесплатной альтернативой вышеупомянутому является только мастер-пароль, который пользователь может запомнить и не имеет права разглашать + использование менеджера паролей для доступа к стратегическому для компании софту и базам данных.

О чем мы, собственно, уже почти десяток лет и твердим.



P.S. Ниже опросы для офисных работников. Фрилансеров и удаленщиков просьба воздержаться по понятным причинам.
+43
32,3k 59
Комментарии 185
Похожие публикации
Популярное за сутки