Как «запереть» корпоративную IT-инфраструктуру на замок с помощью пароля

«Основная цель политики парольной защиты – установить стандарты создания сильных паролей, их защиты, хранения и частоты изменения. Кроме того, наличие политики парольной защиты является требованием ФСТЭК для значимых объектов критической информационной инфраструктуры, что зафиксировано в Приказах № 235 и № 239.

Во всем мире компании постоянно сталкиваются с попытками проникновения в корпоративную систему с помощью компрометации паролей пользователей. Еще в 2018 году в своем ежегодном отчете о расследовании нарушений данных компания Verizon сообщила, что в 81% случаев взлом данных происходит из-за украденных или слабых паролей.

Недавним примером изощренной атаки стала попытка взлома компании IT-системы Cisco через личную учетную запись Google, принадлежащую сотруднику компании. Пользователь включил синхронизацию паролей через Google Chrome и сохранил свои учетные данные Cisco в браузере, что позволило синхронизировать эту информацию с его учетной записью Google. Получив учетные данных пользователя, злоумышленник попытался обойти многофакторную аутентификацию (MFA), используя различные методы, включая голосовой фишинг и усталость MFA, а также отправку большого количества push-запросов на мобильное устройство цели.

Как создать сильную политику парольной защиты?

Обычно политика парольной защиты содержит следующие требования к паролям:

1. Минимальная длина пароля должна быть от 8 до 12 символов, рекомендуется использовать длинные парольные фразы.

2. Пароль должен быть сложным, то есть содержать по крайней мере три различных набора символов, например:

- буквы латинского алфавита в верхнем регистре (A–Z); 

- буквы латинского алфавита в нижнем регистре (a–z); 

- цифры (0–9); 

- специальные символы и знаки пунктуации (например, !@#$%^&*(),.?).

3. Необходимо ротировать пароли – менять каждые 90 дней или чаще.

4. После ввода неверного пароля 5 раз или меньше учетная запись должна блокироваться.

Частые примеры нарушения политики

Причиной компрометации учетных записей и проникновения в корпоративную систему становятся следующие действия:

· передача паролей коллегам;

· использование одинаковых паролей для личных и рабочих аккаунтов;

· повторное использование паролей в своих корпоративных и личных аккаунтах;

· отсутствие реакции в случае фишинговой атаки, то есть пользователь не изменил свой пароль;

· отсутствие двухфакторной аутентификации в личных аккаунтах и на работе.

Технические решения для защиты паролей

Хорошая практика - использование менеджера паролей, защищенного двухфакторной аутентификацией. Пароли должны храниться и передаваться в зашифрованном виде, с применением протоколов шифрования.

Однако необходимо понимать риски применения менеджера паролей, не «класть все яйца в одну корзину» и крайне внимательно подойти к выбору решения и его защите от несанкционированного доступа.

Идеальных решений не бывает, при интеграции менеджера паролей стоит руководствоваться принципами эшелонированной защиты, а также использовать системы класса Privileged access management для защиты администраторов».