Хабрахабр

Руководители, хватит сбрасывать пользовательские пароли раз в месяц


День смены паролей, офис в городе Энске, реконструкция, цвет

Тема того, что принудительная постоянная смена паролей лишь снижает секьюрность, но никак ее не повышает, поднималась на Хабре уже много раз (1, 2, 3), но в них, обычно, обсуждались частные случаи, а в комментариях пользователи активно делились опытом, как они защищают свои собственные учетные записи. Если эта статья не проделала брешь в пространственно-временном континууме, то на дворе 2018 год, а в большинстве крупных организаций до сих пор меняют пароли каждые 30-90 дней.

Но как метко заметил один из комментаторов в прошлых публикациях, зачастую инициатива на подобные «эффективные» меры исходит с самого верха организации, а спорить с генеральным директором без достойных аргументов себе дороже. То что связка условного KeePass+токен, присыпанная двухфакторной аутентификацией намного надежнее, чем условная смена паролей раз в 30-90 дней, понятно и без объяснений. Возможно, после прочтения этой статьи некоторыми руководителями, работать в отдельных компаниях станет немного лучше.
Поэтому я решил попробовать доступно разложить, откуда растут ноги столь распространенной и одновременно неэффективной практики, какие им существуют альтернативы и с чем они сопряжены.

Чем опасна регулярная смена паролей

Пароль сам по себе — средство защиты не слишком стойкое ко взлому. Именно поэтому сейчас на рынке есть многочисленные средства двух или даже трехфакторной аутентификации, различные токены, флешки и прочие ухищрения, которые укрепляют периметр и снижают вероятность взлома и получения доступа к конфиденциальным данным или учетной записи. Одним из пропагандируемых способов «укрепления» этого самого периметра является, якобы, регулярная смена пароля пользователя, которая, по идее, должна уберечь от атаки вследствие слива БД и так далее. Все эти рекомендации упускают, в первую очередь, эффект шаблонизации, который я подробно описывал несколько лет назад.

Если кратко: постоянная принудительная смена паролей приводит к выработке человеком шаблона не только запоминания текущего пароля, но и его генерации, что описали в научной работе исследователи из США еще в 2010 году.

И приставить к каждому сотруднику надзирателя, который бы проверял уникальность каждого нового пароля невозможно. Вместо бесконечного запоминания «стойких паролей с переменным регистром и спецсимволами» пользователи начинают их банально записывать или использовать шаблоны.

Откуда о смене паролей узнают руководители

Если немного помучить поисковик, то можно найти массу публикаций и даже служебных документов на тему информационной безопасности. Некоторые из них пахнут нафталином, другие — чуть более бодрые и рассказывают об опасности «атак изнутри» и социальной инженерии в ходе взлома. Всех их объединяет пункт «периодическая смена пароля», который чаще всего начинается со слов вида «не стоит забывать о таком простом и эффективном способе».

Для того, чтобы не быть голословным, приведу пару примеров того, как в отечественной литературе (в том числе учебной!) и статьях рекомендуют использовать периодическую смену паролей:

В нем авторы признают слабость пароля как средства защиты и призывают обеспечивать информационную безопасность через регулярную принудительную их смену и еще ряд менее бесполезных мероприятий, таких как защищенные каналы передачи данных, к примеру. Это скриншот из УМК по инфобезу 2008 года издания.

Если абстрагироваться от IT-сегмента и представить, что инфобезом озаботился директор или владелец предприятия, производящего, например, газосиликатные блоки или другую промышленную продукцию, то скорее всего, информацию он почерпнет как раз из открытых источников или посетит один из «повышающих квалификацию» семинаров. Также в сети предлагается масса платных семинаров и тренингов для «менеджеров и руководителей» по обеспечению информационной безопасности предприятия.

Конечно, там дается и полезная информация о поведении в сети, ограничении прав доступа, своевременном обновлении систем и администрировании. Я не критикую на корню подобные мероприятия, нет. Однако со 100% уверенностью можно констатировать, что нелюбимая нами мантра «заставляйте сотрудников менять пароль раз в 30 дней» звучит на подобных мероприятиях регулярно. Возможно, там учат прописывать регламенты и выстраивать простейшие периметры информационной безопасности на базе создания «режима» на объекте.

Фактически, регулярная смена паролей в корпоративной сети — это стандарт, созданный много лет назад из лучших побуждений, который продолжает существовать по инерции. Если задуматься, то можно сделать один простой вывод: ведь подобную политику позволяют проводить средства администрирования Windows. Практика смены паролей была успешно экстраполирована на другие продукты, например, на «зоопарк» софта 1C. Если копнуть чуть глубже, можно увидеть, что регулярную смену паролей широко используют не только для продуктов Microsoft, которые поставляют эту механику «из коробки». Фактически, администраторы по всему СНГ уже минимум десятилетие насилуют мозг и себе, и бухгалтерам/продажникам, исполняя наставления руководства по «обеспечению безопасности».

Например, около двух лет назад против постоянной смены сложных паролей выступил глава нового центра национальной кибербезопасности при штаб-квартире Соединенного Королевства Мартин Чиаран. При этом специалистов, которые призывают отказаться от регулярной смены паролей и пропаганды невозможных к запоминанию комбинаций, который год успешно игнорируют. По мнению Чиарана, намного безопаснее использовать либо менеджер паролей, либо единый сложный для взлома, но возможный к запоминанию пароль. Он раскритиковал практику постоянной смены паролей и советы использовать сложные пароли для разных сервисов, сравнив это с ежемесячным запоминанием 600-значного числа.

Возможно ли переубедить руководство?

Путей переубедить руководителя, далекого от современного мира IT в том, что регулярная смена паролей — дикая дичь, не так уж и много.

Стоит понимать, что данная практика получила столь широкую популярность по двум причинам:

  1. Это дает ложное чувство безопасности и закрывает для руководителя вопрос «защищенности» рабочих станций сотрудников.
  2. Это относительно быстро и бесплатно.

Если со всех сторон, в прессе, на семинарах и так далее твердят десятилетиями, что смена пароля — хорошая затея, это отложится в памяти руководителя. Вкупе со вторым пунктом, когда все расходы на разверстку «периметра» в виде смены паролей ограничиваются тем, что нужно лишь озадачить этим системного администратора, который все сделает за один день, все становится вдвойне приятнее и проще.

Очевидный сценарий в этом случае один: объяснить несостоятельность подобной практики и предложить альтернативу. Ни один руководитель компании средней руки не согласится на закупку токенов или других физических средств защиты рабочих станций, когда есть бесплатная альтернатива в виде принудительной смены паролей.

Чем опасна регулярная смена пароля:

  • пароли начинают записывать на бумажках/в ежедневниках/клеить стикеры на монитор;
  • пароли шаблонизируются (меняется несколько символов в начале или конце пароля);
  • пароли слишком сильно упрощаются, даже при наличии минимального ограничения по символам.

Можно почувствовать, что все основные угрозы, создаваемые регулярной сменой пароля относятся к внутреннему нарушению ИБ и периметра, то есть лежат в плоскости социальной инженерии. Удаленный хакер из Нигерии никогда не подсмотрит пароль, который записан на бумажке и спрятан под клавиатуру. А вот случайно зашедший сотрудник конкурента или вредитель из коллектива — запросто.

Последнее очень красиво вписывается в моду последних лет по любому поводу подписывать с сотрудниками и подрядчиками NDA, так пусть хоть раз это будет оправдано. Единственная реальная альтернатива для обеспечения безопасности внутреннего периметра — использование принципа «одна станция — один человек», оперативное консультирование и поддержка персонала в случае блокировки рабочей станции по таймауту, выстраивание политик доступа внутри самой сети и введение ответственности за разглашение/передачу пароля от учетной записи.

Банковский сектор как пример для подражания

Большинство руководителей в вопросах информационной безопасности внутри офиса относятся к работникам, как к собственности компании, то есть им, якобы, не нужна поддержка. Однако если рассмотреть структуру внутреннего периметра по примеру обеспечения безопасности данных в виде «Сервис-Клиент» в банковских структурах, то все становится намного понятнее.

Банально потому что для пластиковых карт существует ограничение на количество попыток ввода, плюс клиент может оперативно заблокировать свою карту в случае, если он заподозрил утечку данных (скриммер) или потерял карту. Задумайтесь: пин-код от банковской карты составляет всего 4 символа, однако никто не кричит о том, что он «слишком короткий» и простой для взлома. И пользователи активно пользуются этими возможностями, потому что заинтересованы в соблюдении мер безопасности и знают, что смогут оперативно выполнить данные операции.

Чаще всего эта роль ложится на системных администраторов, которые и так обеспечивают бесперебойное функционирование IT-систем организации. То есть, если ваше руководство озаботилось созданием внутреннего регламента и обеспечением реальной информационной безопасности компании, то до него стоит донести факт того, что все сотрудники в этот момент становятся «клиентами» IT-службы организации, которая будет заниматься их поддержкой. Но почему-то об этой простой истине принято умалчивать. И чем серьезнее меры безопасности, тем больше расходы на штат и инфраструктуру.

Так что мне делать?

До руководства надо донести одну простую мысль: не бывает бесплатной информационной безопасности, бесплатно можно создать только видимость активности в этом направлении. Во всех прочих случаях возрастают расходы либо на штат системных администраторов (если в штате брешь, то вырастут простои на местах), которые будут оперативно реагировать на проблемы пользователей и смогут выстроить грамотную систему прав и доступов, либо требуется закупка токенов, которые выдают временные пароли/по которым происходит доступ к системе.

Относительно бесплатной альтернативой вышеупомянутому является только мастер-пароль, который пользователь может запомнить и не имеет права разглашать + использование менеджера паролей для доступа к стратегическому для компании софту и базам данных.

О чем мы, собственно, уже почти десяток лет и твердим.

P.S. Ниже опросы для офисных работников. Фрилансеров и удаленщиков просьба воздержаться по понятным причинам.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть