+33 голоса |
Американский NIST сформулировал новые рекомендации относительно создания парольных политик корпоративных пользователей.
В них впервые предложено использовать шаблон для парольных политик с учетом «менталитета» пользователей и отказаться от неэффективной и трудозатратной практики выполнения действий, которые не улучшают безопасность.
Учитывая рекомендации, которые выдвинул NIST, можно выделить несколько основных положений.
Аутентификация с помощью ответов на вопросы, которые пользователь дал заранее, а также использование SMS-сообщений в двухфакторной аутентификации из-за проблем с безопасностью их доставки является неэффективной. Это основывается на том, что: устройство может быть заражено вредоносным программным обеспечением (ПО); возможно перенаправление сообщения злоумышленникам; хакеры могут атаковать сеть оператора связи и др.
Установление срока окончания действия пароля без особой необходимости нецелесообразно (хотя практический опыт дает основания действовать наоборот - устанавливать срок жизни сложного пароля от 6 до 12 месяцев).
Учетные данные целесообразно изменять в случаях, когда они были забыты, украдены с помощью фишинга или взломаны.
Длина пароля должна быть не менее 8 и не более 64 символов. При этом целесообразно проверять пароли с помощью частотных словарей, а также отказаться от порочной практики использования подсказок и вспомогательных вопросов, которые упрощают взлом паролей и их восстановление (типа «Имя вашего питомца?», «Какое девичье имя вашей матери?» и т.п.).
Последнее утверждение основано на том, что пароли должны храниться в хешированном виде с добавлением модификатора (не менее 32 бит), а ограничение длины не должно быть обязательным (модификатор - строка данных, которая передается хэш-функции вместе с паролем. Используется для удлинения строки пароля, чтобы увеличить сложность взлома).
Дополнительно пользователям должна быть обеспечена возможность использовать все печатные символы ASCII, пробелы и символы UNICODE, включая емодзи (смайлики). Использование парольных фраз и их проверка с помощью частотных словарей позволит выбирать любые существующие знаки пунктуации и любой, выбранный пользователями, язык, а также исключить из употребления такие широко применяемые варианты, как «qwerty», «welcom», «ThisIsPassword» и т.д.
На основании анализа вышеизложенных рекомендаций NIST, можно сформулировать базовые требования к созданию парольных политик корпоративных пользователей.Для удобства приведем их в виде правил, которые легко могут быть адаптированы в любую парольную политику.
Напомним, что парольная политика устанавливает требования к порядку выбора, хранения, использования, периодичности смены и других вопросов, связанных с применением механизмов парольной аутентификации в информационных системах и прикладных приложениях.
Требования по созданию парольных политик корпоративных пользователей
Правило 1.
Длина пароля должна составлять не менее 8 символов. При этом пароль должен быть похожим больше на криптографический ключ в виде набора случайных символов, чем на секретное слово. Так, например,
при длине пароля от 8 до 11 символов обязательно должен использоваться микс (смесь) букв в нижнем и верхнем регистре, цифрами и спецсимволами;
длина пароля от 12 до 16 символов должна предусматривать использование микса букв в нижнем и верхнем регистре и цифр;
длина пароля от 16 до 21 символа должно основываться на использовании микса букв в нижнем и верхнем регистрах;
при длине пароля более 22 символов целесообразно использовать любые буквенные символы.
Длина пароля для мобильных устройств не должна быть менее 15 символов. Содержание пароль должен состоять из букв и цифр нижнего и верхнего регистров. Например, пароль для банковского приложения: 8xaFTMT8OZWxa1xv.
Правило 2.
Пароль не может состоять из одного слова, которое появляется в словаре (на украинском или любом другом языке). При формировании пароля целесообразно использовать кодовую фразу из нескольких слов.
Примечание: не все сайты и приложения поддерживают такую возможность. Часто длина пароля ограничивается сверху, что не позволяет использовать при формировании пароля длинные фразы.
Правило 3.
В устойчивом пароле должно быть не менее 3-х спецсимволов, 3-х цифр, 3-х заглавных и 3-х строчных букв.
Для облегчения запоминания пользователем требований к построению пароля - назовем это правило «правилом 3х4».
Пример построения стойкого пароля:
ФРАЗА: «Ежик в тумане. Мультфильм хороший и веселый»
ПАРОЛЬ: - *v~DisneyGo0d:)
-
“*” - «ежик»;
-
“v” - «в»;
-
“~” - «туман»;
-
“Disney” - популярна студия мультфильмов;
-
“Go0d” - “good” –> «золото» -> «хороший»;
-
“:)” - «веселый».
ФРАЗА: «Снег зимой, а летом солнце»
ПАРОЛЬ: - *Pbvjq@ Ktnjv /o\
-
“*” - «снег»;
-
“Pbvjq” - на английской раскладке клавиатуры русскими буквами «Зимой»;
-
“@” - «а»;
-
“Ktnjv” - на английской раскладке клавиатуры русскими буквами «Летом»;
-
“/o\” - «солнце».
Примечание: не используйте ни один из приведенных примеров в качестве пароля!
Правило 4.
При большом количестве учетных записей (более трех) желательно использовать функционал менеджеров паролей и обеспечить дополнительную защиту базы данных и ключевого файла менеджера паролей с помощью сертификата. Для этого может быть использован любой внешний носитель с аппаратным шифрованием (типа гибридных USB-аутентификаторов), использование которого позволит пользователю хранить сертификаты, секретные ключи и базы данных менеджера паролей. Политика блокировки учетных записей пользователей должна быть при этом ориентирована на следующие требования:
-
количество ложных вводов пароля - хх (рекомендуется 11);
-
время блокировки учетной записи - хх ч (рекомендуется 3 ч.);
-
время доступа пользователей до Active Directory - с хх.хх до хх.хх.
Правило 5.
С целью предотвращения несанкционированного доступа к рабочим местам пользователей, а также к ресурсам корпоративной сети с использованием чужих учетных записей (имен пользователей), пользователи обязаны блокировать экраны своих компьютеров в случае оставления ими своего рабочего места нажатием на компьютерной клавиатуре набора клавиш Ctrl + Alt + Del и далее - кнопки «Блокировки» («Lock Workstation»).
Правило 6.
Пользователям запрещается:
-
сообщать свой пароль кому-либо, включая своих коллег, друзей, непосредственных руководителей, специалистов служб технической поддержки и информационной безопасности;
-
хранить пароли в доступной для неуполномоченных лиц форме, в командных файлах, сценариях автоматической регистрации, программных макросах, функциональных клавишах терминала, на компьютерах с неконтролируемым доступом, а также в других местах, где неуполномоченные лица могут получить к ним доступ;
-
записывать пароли и оставлять эти записи в местах, где к ним могут получить доступ неуполномоченные лица;
-
использовать общие пароли для доступа к информационным системам и интернет-ресурсов дома и на рабочем месте;
-
использовать общие пароли совместно с другими сотрудниками организации.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+33 голоса |