[Перевод] Рекомендации Microsoft по отключению срока действия паролей: следствия и выводы

1f5uifu9gnmojgq-3tr1zeqacfu.jpeg

Как вам уже известно, Microsoft поменял своё руководство по политикам срока действия паролей. В мае 2019 года они разместили пост в своем блоге с пояснениями этого решения.
Эксперты в сфере кибербезопасности знают, что среднестатистический человек имеет пароль, который удобно вводить, и поэтому его легко подобрать компьютеру. При этом необходимость его смены раз в несколько месяцев не меняет того факта, что такие пароли легко подобрать. Мощность современных компьютеров позволяет подобрать перебором пароль длиной в 8 цифробуквенных символов за несколько часов. Смена одного или двух символов из этих восьми не сделает задачу сложнее.

С момента выхода рекомендаций Microsoft прошло уже достаточно много времени и самое время сделать выводы, стоит ли совсем избавиться от срока действия паролей? На самом деле не всё так просто.
Политика срока действия паролей является всего лишь одним из кирпичиков в стене кибербезопасности. Не стоит доставать один из кирпичей стены, если у вас нет других методов защиты для компенсации такого действия. Поэтому лучше всё же сконцентрировать внимание на самых крупных факторах риска в организации и проработать стратегию кибербезопасности таким образом, чтобы сократить именно их.

Зачем избавляться от политик срока действия паролей?


Аргументация Microsoft по этому вопросу заключается в том, что политики срока действия паролей несут малую ценность с точки зрения информационной безопасности. В результате они больше не рекомендуют их применение и исключили этот элемент из структуры фундаментального уровня кибербезопасности от Microsoft.

Но Microsoft не просит отключить все ваши политики паролей сиюминутно. Они лишь информируют, что вашей стратегии ИБ нужно что-то большее, чем просто истечение срока действия паролей.

Стоит ли удалять политику паролей?


Большинству организаций следует оставить политику срока действия паролей без изменений. Подумайте над следующим простым вопросом: что будет, если у пользователя украдут пароль?
Политики паролей помогают снизить напор атакующего, заблокировав его жизненно важный канал доступа внутрь сети. Чем короче срок действия пароля, тем меньше остаётся времени на компрометацию системы и вывод данных (если только атакующий не воспользовался другой точкой входа). Microsoft считает, что всё те же политики, нацеленные изначально на исключение скомпрометированных паролей из ротации, по факту только поощряют плохую практику — например, повторное использование и слабую итерацию (vesna2019, leto2019, zima2019) паролей, шпаргалки на мониторах и т.д.

Словом, в Microsoft верят, что риск от плохих практик использования паролей на самом деле выше, чем выгода от внедрения политик по сроку действия. Мы в Varonis отчасти с этим согласны, но на самом деле существует сильное недопонимание того, что требуется компании для готовности к отказу от таких политик.

Данное изменение сильно повышает удобство работы пользователям и его легко внедрить, но в итоге есть вероятность только увеличить общие риски, если вы не следуете другим лучшим практикам в индустрии, таким как:

  • cекретные фразы: форсирование длинных (16 и более символов) и комплексных паролей повышает сложность их взлома. Старый стандарт в минимум 8 символов взламывается за несколько часов на современных ПК.
  • модель минимально необходимого доступа: в мире, где постоянство никогда не нарушается, критично знать, что пользователь имеет доступ лишь к минимально необходимому объёму данных.
  • отслеживание поведения: вам необходимо уметь детектировать компрометацию аккаунта на основе отклонений от нормального входа в систему и нестандартного использования данных. Один лишь анализ статистики в данном случае не поможет.
  • многофакторная аутентификация: даже если атакующий знает имя пользователя и пароль, многофакторная аутентификация является серьёзным препятствием для среднестатистического злоумышленника.


Пароли наконец-то отмирают?


В этом и заключается основной вопрос, не так ли?

Есть несколько технологий, стремящихся заменить пароли как протокола аутентификации де факто. FIDO2 хранит идентификационные данные на физическом устройстве. Биометрия, несмотря на сомнения касательно «уникальности, но отсутствия конфиденциальности», также является потенциальным вариантом.

Новая парадигма заключается в поиске методов аутентификации, которые нельзя случайно передать или легко украсть. Но пока что такие технологии не пробились из корпоративного
сектора в мейнстрим. До этих пор, Varonis рекомендует оставить ваши политики срока действия паролей без изменений, а неудобство пользователей считать небольшим во имя общего блага.

Как Varonis помогает защититься от кражи учётных данных


Varonis предоставляет дополнительную защиту для усиления ваших политик паролей. Мы отслеживаем файловую активность, события в Active Directory, телеметрию периметра и другие ресурсы для построение базовой модели поведения пользователей. Затем сравниваем её с текущим поведением на базе встроенных моделей угроз чтобы понять, не скомпрометирован ли аккаунт. Дэшборд Active Directory показывает учётные записи, которые подвержены риску компрометации, такие как сервисные учетные записи с административными привилегиями, паролем без срока действия или вообще не требующих соответствия заданным в политиках требованиям. Модели угроз также выявляют различные варианты аномалий входа в систему, таких как вход в нестандартное время суток, вход с нового устройства, потенциальная брутфорс- или ticket harvesting атака.

До этих пор, лучше всё же оставить ваши политики срока действия паролей на месте.

А если вы захотите посмотреть Varonis в действии, запишитесь на нашу живую демонстрацию кибератак. Мы покажем, как проводить атаку, и продемонстрируем способы обнаружения и расследования таких инцидентов на базе нашей платформы.

© Habrahabr.ru