Любой эксперт по безопасности скажет вам, что обеспечение сохранности информации об аутентификации пользователей крайне важно для создания фундамента общей системы безопасности. Хорошим началом для реализации такой программы могут стать несколько советов по работе с логинами и паролями, о которых мы сейчас и поговорим.
В статье сведены воедино как хорошо известные, так и не слишком знакомые всем примеры работы с логинами и паролями, конкретные технологии и проблемы, с которыми приходится иметь дело и пользователям, и администраторам.
1. Взломайте ваши собственные пароли.
Если вы хотите, чтобы ваши пользователи применяли высококачественные пароли, попробуйте прибегнуть в своей работе к некоторым методам хакеров. Постарайтесь взломать эти пароли сразу после того, как они установлены, используя “словарную” атаку, чтобы убедиться, что они не могут быть взломаны еще до начала работы. Если первая попытка не дала результатов, попробуйте случайный перебор паролей с помощью инструментов типа Cain&Abel, чтобы ваши пользователи могли в дальнейшем работать спокойно.
2. Боритесь с практикой записи паролей.
Если на мониторах пользователей висят бумажки с записанными паролями, то вся организационная работа не имеет смысла, и тут уже совершенно не важно, насколько безопасны ваши инструменты для управления паролями и практика работы с ними. Категорически запретите это делать и потребуйте от менеджеров следить за соблюдением данного требования.
3. Автоматизируйте постоянное обновление паролей.
Ни один пароль не является совершенным, особенно если он используется долгое время. Организуйте ежеквартальную автоматическую смену паролей.
4. Не позволяйте повторно использовать старые пароли.
Убедитесь, что пользователи не прибегают повторно к одним и тем же четырем-пяти паролям, а время от времени меняют их. Удостоверьтесь, что новые пароли действительно являются новыми, а не вариациями старых. К примеру, “password2” не может считаться обновлением “password”.
5. Четко определите правила вашей политики паролей.
Пользователи должны знать основные правила работы с паролями. Установите правило по минимальной длине пароля и минимальному количеству символов и цифр в нем, определите частоту обновления и строго запретите обмениваться паролями и записывать их. И главное — приложите усилия, чтобы все эти правила выполнялись (хотя бы на программном уровне).
6. Вкладывайте средства в подготовку пользователей к работе с паролями.
Объясните сотрудникам, почему они должны следовать этим правилам, и научите их тому, как это сделать проще всего. Научите их самостоятельно создавать надежные пароли. Дайте совет, как сделать надежный и в то же время легкий для запоминания пароль, например, предложите им использовать первые буквы их любимой пословицы, заменяя некоторые из них цифрами.
7. Сотрудники ИТ-департамента не должны знать пароли пользователей.
Некоторым это может представляться очевидным делом, но постоянный контроль здесь необходим. Нужно строго следить за тем, чтобы сотрудники ИТ-отдела не знали паролей пользователей. Реализовать это возможно с помощью программных методов — все пароли находятся в специальной БД в зашифрованном виде.
8. Никогда не храните пароли в виде открытого текста.
Пароли надо хранить только в зашифрованном виде. И подберите надежный пароль к этой системе шифрования.
9. Не используйте одинаковых паролей.
Синхронизация паролей (то есть многократное использование одного и того же пароля) упрощает их применение, давая пользователям возможность входить с помощью одного или двух паролей во множество систем. Но распространение синхронизации ставит компанию под угрозу серьезного риска перед сетевой атакой, если этот пароль становится известен злоумышленникам. Очень важны надежные пароли, и системы, которые не используют шифрование, не должны быть задействованными в синхронизации паролей.
10. Используйте другие формы аутентификации.
Выбор альтернативных методов аутентификации, таких как биометрический метод, специальные ключи-токены или какие-то другие секреты, — очень хороший способ укрепить недостаточно сильную систему паролей. Хотя такие методы и требуют определенных затрат, они того стоят, особенно в системах, где обрабатывают высокорисковую информацию (к примеру, банковские счета). По крайней мере используйте какие-нибудь дополнительные секреты (например, систему “вопрос-ответ”), это поможет при автоматической переустановке систем, что облегчит работу службы поддержки.