Не секрет, что самым узким местом в безопасности системы является сам человек, работающий с этой системой и его зачастую неправильные действия. Львиной долей случаев «взлома» суперзащищенных систем является использование злоумышленником вашего пароля доступа к системе.
Сегодня мы поговорим о том, каким образом системные администраторы могут резко снизить безопасность системы путем дополнительной заботы о ее безопасности.
Мы уже писали о том, что человеческий мозг и память — уникальные субстанции, но имеющие ряд существенных ограничений и недостатков. К таким недостаткам относится очень ограниченное количество сложноструктурной неассоциативный информации, которую человек может запомнить — хорошими примерами такой информации могут быть номера телефонов (без какой либо привязки к буквам, как это делают в USA) и множество бессмысленных паролей к различным системам, которые необходимо постоянно держать в уме.
Ситуация осложняется еще и тем, что администраторы устанавливают просто нечеловеческую политику безопасности, обязывающую пользователя составлять пароль из не менее 9 символов, менять его раз в три месяца + плюс ко всему, ВНИМАНИЕ!, вы должны вводить такой пароль, который не был бы похож на 10 (десять!) предыдущих.
Что мы имеем в результате такой прекрасной политики? Правильно: люди записывают пароли куда попало, для того, чтобы их запомнить. Службы тех поддержки получают звонки примерного содержания: «Я забыл пароль, резетните мне его, пожалуйста.» После чего все идет по кругу — вы получаете новый бессмысленный пароль и либо записываете его на руке (а как запомнить «5_Аарс$dfg5NRTd»???), либо хотите его заменить и возвращаетесь к исходной проблеме. Я встречал достаточно много людей, которые, имея по несколько пластиковых карт и пользуясь ими раза два в месяц, записывают PIN-коды чуть ли не на самой карточке!
Можно понять проблемы банковских сетей и ситуацию 1 карточка= 1 уникальный PIN, но зачем усложнять жизнь рядовому пользователю, который начинает свой рабочий день со входа в домен?
Позволю себе сформулировать пару правил, приминение которых позволяет не доводить процесс повышения безопасности системы до идиотизма:
1) регулярное изменение пароля — это действие, которое увеличивает безопасность доступа на доли процента, при этом имея крайне негативный эффект. Исходя из этого и нужно строить политику — смена должна быть не чаще, чем один раз в 4-6 месяцев. При этом пользователь может отказаться от изменения пароля в какой-то конкретный раз. То есть система ему лишь предлагает сделать это.
2) если пользователь хочет сменить пароль, не запрещайте ему вводить похожий пароль. В крайнем случае, можно указать на то, что данный пароль похож на предыдущий с просьбой ввести новый.
3) не стоит включать в алфавит пароля обязательные группы: спец. знаки, спец. символы и заглавные буквы. Букв и цифр вполне достаточно, если пользователь захочет усложнить свой пароль, он сделает это, будьте в этом уверены.
4) ну и самое последнее — длина пароля. Исследования показывают, что шести символов вполне достаточно для генерации взломостойкого пароля. Можно ипользовать простую систему подсказок, которая будет указывать пользователю на то, что его пароль слишком просто для взлома. Благо современные технологии для веба (Ajax, к примеру) позволяют это сделать элегантно. Про настольные приложения вообще молчу.
Вот пример из Google Apps:
Сегодня мы поговорим о том, каким образом системные администраторы могут резко снизить безопасность системы путем дополнительной заботы о ее безопасности.
Мы уже писали о том, что человеческий мозг и память — уникальные субстанции, но имеющие ряд существенных ограничений и недостатков. К таким недостаткам относится очень ограниченное количество сложноструктурной неассоциативный информации, которую человек может запомнить — хорошими примерами такой информации могут быть номера телефонов (без какой либо привязки к буквам, как это делают в USA) и множество бессмысленных паролей к различным системам, которые необходимо постоянно держать в уме.
Ситуация осложняется еще и тем, что администраторы устанавливают просто нечеловеческую политику безопасности, обязывающую пользователя составлять пароль из не менее 9 символов, менять его раз в три месяца + плюс ко всему, ВНИМАНИЕ!, вы должны вводить такой пароль, который не был бы похож на 10 (десять!) предыдущих.
Что мы имеем в результате такой прекрасной политики? Правильно: люди записывают пароли куда попало, для того, чтобы их запомнить. Службы тех поддержки получают звонки примерного содержания: «Я забыл пароль, резетните мне его, пожалуйста.» После чего все идет по кругу — вы получаете новый бессмысленный пароль и либо записываете его на руке (а как запомнить «5_Аарс$dfg5NRTd»???), либо хотите его заменить и возвращаетесь к исходной проблеме. Я встречал достаточно много людей, которые, имея по несколько пластиковых карт и пользуясь ими раза два в месяц, записывают PIN-коды чуть ли не на самой карточке!
Можно понять проблемы банковских сетей и ситуацию 1 карточка= 1 уникальный PIN, но зачем усложнять жизнь рядовому пользователю, который начинает свой рабочий день со входа в домен?
Позволю себе сформулировать пару правил, приминение которых позволяет не доводить процесс повышения безопасности системы до идиотизма:
1) регулярное изменение пароля — это действие, которое увеличивает безопасность доступа на доли процента, при этом имея крайне негативный эффект. Исходя из этого и нужно строить политику — смена должна быть не чаще, чем один раз в 4-6 месяцев. При этом пользователь может отказаться от изменения пароля в какой-то конкретный раз. То есть система ему лишь предлагает сделать это.
2) если пользователь хочет сменить пароль, не запрещайте ему вводить похожий пароль. В крайнем случае, можно указать на то, что данный пароль похож на предыдущий с просьбой ввести новый.
3) не стоит включать в алфавит пароля обязательные группы: спец. знаки, спец. символы и заглавные буквы. Букв и цифр вполне достаточно, если пользователь захочет усложнить свой пароль, он сделает это, будьте в этом уверены.
4) ну и самое последнее — длина пароля. Исследования показывают, что шести символов вполне достаточно для генерации взломостойкого пароля. Можно ипользовать простую систему подсказок, которая будет указывать пользователю на то, что его пароль слишком просто для взлома. Благо современные технологии для веба (Ajax, к примеру) позволяют это сделать элегантно. Про настольные приложения вообще молчу.
Вот пример из Google Apps:
