Комментарии 14
Был цикл статей про парольную политику, которой тоже есть куда стремиться, но ваша статья от силы составляет 20% одной статьи из того цикла.
Регулярная смена паролей: Ввести требование по регулярной смене паролей, особенно для важных учетных записей. Рекомендуется менять хотя бы раз в 90 дней
Не дай бог. В конторе, где я работаю, такая политика насаждена ДИТом - и сотрудники массово плюются от того, что каждые 3 месяца приходится менять пароль. Естественно, ни о какой ИБ речи не идёт, потому что все пароли тут же записываются на бумажку и в лучшем случае прячутся под клавиатуру, в худшем - наклеиваются скотчем прямо на монитор. Как вариант - ставится пароль вида OrganisationnameN, где N:=N+1 каждый раз.
Боюсь, тут есть некоторые знания, которые вы не учитываете, которые открывают глаза именно на 90 дней. У вас есть учетка. Вы ей пользуетесь, у нее есть некоторые права. Есть Любка, при вашем увольнении она должна деактивировать учетку, но она этого не делает. Итого за 90 дней в случае утечки вашей учетки вовне можно походить по сервисам, найти доступы куда попало, влезть в систему. Учетки не утекают моментально, но утекают, и как следствие, важно, чтобы время, сколько с этой учеткой будут работать всякие буки, было минимально, но при этом не совсем напрягать пользователя, то есть не каждую неделю, не каждый месяц, а все же раз в 3 мес.
Если вы думаете, что я описываю какой-то редкий кейс, то нифига подобного. Это 95 процентов всех взломов инфры - изнутри, зашел-вышел, делов на 5 минут (с). А потери компании будут огромные, вон, СДЭКовские бд и бэкапы зашифровали, как думаете, как? А легко, зашли с учетки, положили вирусню, распространили по системе. У нас в орге ломают сеть как? Учетки утекли, попали в защищенный сегмент сети, пробуют положить базы. Инфра не спит ночами, отбивается, думаете, оно им надо?))) Так что лучше смириться с 90 днями, чем с потерями (иногда в миллиард рублей и больше) просто по вине утекшей учетки, которая не обрубится сама
Регулярная смена паролей - это только усугубляет, так как надо запоминать и все такое. Многие куда-то запишут и все
То, что реально работает, это
"второй фактор" упомянут в конце и вскользь
SSO: и нет много паролей
В целом, статья скорее вредная, чем полезная, так как куда безопаснее смотреть на ситуацию в комплексе и помнить, что самое уязвимое - это человек. Но не потому, что он "редиска", а потому что чем неудобнее ему сделать, тем менее охотно он будет следовать политикам
Некомпетентность с большой буквы "Н", как и ожидалось от руководителя направления ИБ (я сбшник, я так вижу). Какая нахрен связь с HR, как они вообще здесь оказались?! Где упоминание что безопасность стоит на трех китах - "что я знаю" (пароль), "кто я" (биометрия) и "что я имею" (устройство). Их комбинация 2FA (или 3FA в случае паранойи) позволяют говорить о какой-либо безопасности. А не вот эти вот все "3Электрика!Варят#Борщевик".
Согласен с предыдущим оратором, очередная полешка чатаГПТ а не статья.
Уже сколько раз публиковали рекомендации которые NSA разрабатывает для американского правительства. Регулярная смена паролем не рекомендуется, так как пользователи либо используют легате паттерны (меняя последнюю цифру) либо используют более простые пароли.
У меня из-за придурков которые трубно наличия символа пунктуации в пароле половина паролей с «!» Вконце. То что перед этим 16 символов сгенерированных менеджером паролей этим идиотам по барабану, вынь да положь знак пунктуации. И кому легче стало?
Хоть тут и про приложения, но суть та же – почитайте намедни https://passwordpolicies.cs.princeton.edu/
Регулярная смена паролей для пользователей тот ещё адок, приводящий к бумажкам или шаблонному упрощению:
Требуется большая буква? Будет первая
Спецсимвол? Конечно восклицательный знак
Цифра? Только единичка в конце
Лучше глянуть что рекомендуют NIST, что есть MFA (не 2фа) & Strong Customer Authentication
И уже стоит смотреть в сторону ауса без паролей, всё же они прошлый век 😜
Ах да – пинкод в систему = чей-то др?
Позабавила статья. Автор, респект тебе конечно, но в противовес могу написать один абзац, который стереть в порошок все эти умные подходы.
Лучшее средство - это двуфакторная аутентификация, с аутентификатором на отдельной ноде.
Пример: Гейб уже давно свой аккаунт стим выложил с паролем, но чёт никто так и не взломал.
По виду статьи писал школьник. Это все базовые принципы. Вот только в организациях работают не только одни айтишникики и ибэшники... есть бухгалтера, менеджеры - эти так вообще. Отдельная каста людей которые закидают помидорами за такие нововведения.
Так что да, единственный вариант это sso с 2fa или mfa. И то кидались помидорами за 2fa
1) Фразы-пароли в приведённом виде не являются безопасными, они вскрываются брутфорсом с помощью специальных словарей. К тому же большинство нормальных людей уже на втором-третьем пароле запутается, где там # , а где !
Лучше использовать более длинные фразы, но брать по 3-4 буквы от каждого слова и без специальных символов.
2) Использование сложных паролей никак не вяжется с необходимостью их частой смены. Мало кто сможет твёрдо запомнить хотя бы 4-5 сложных паролей для разных систем (особенно тех, которые используются в работе нерегулярно), а если их ещё все и менять надо, причём в разное время... В 99,9% случаев смена пароля будет заключаться в изменении последней буквы или цифры на следующую по порядку. Такая "смена пароля" никак не мешает пользоваться злоумышленнику пользоваться взломанной учёткой неограниченный период времени. Лучшее решение - не мучить людей, заставляя их менять пароли, а факты компрометации учёток устанавливать специализированными методами.
Статья херота. Просто банальщина
Публикации
Управление паролями в организации