Управление паролями в организации
Все слышали о важности использования надёжных паролей. Особенно в корпоративном секторе, где взлом пароля может привести не только к потере важной информации, но и к серьёзным финансовым потерям, а также удару по репутации компании. Несмотря на это, статистика по инцидентам, связанным с утечками учетных записей, огорчает. В 2023 почти половине случаев (48%) известных утечек учетная запись упоминалась вместе с паролем. Тот факт, что у большинства компаний есть публично доступные административные панели авторизации, усугубляет ситуацию еще больше. Возможно стоит разобраться подробнее в этом посте, что такое парольная политика в организации и как нам может помочь.
Для начала рассмотрим проблемы, с которыми чаще всего сталкиваемся, когда вспоминаем про инциденты связанные с ненадёжными паролями.
Использование простых паролей: Сотрудники часто используют простые пароли, которые легко подобрать обычным перебором.
Использование корпоративных паролей на других ресурсах: Сотрудники часто используют свой корпоративный пароль и почту для регистрации на других интернет ресурсах. В таком случае утечка пары почта/пароль однозначно приведёт к серьёзным последствиям. И даже сложность пароля тут никак не поможет.
Одинаковые пароли для разных систем: Это особенно опасно, так как злоумышленники могут легко получить доступ к нескольким системам, используя один скомпрометированный пароль.
Отсутствие регулярной смены паролей: Рекомендуется менять пароль не реже 90 дней. Иначе утёкший пароль может достаточно долго использоваться злоумышленниками.
Отсутствует управление доступами: Для выдачи доступа новым сотрудникам и отзыв прав у уволенных сотрудников нет организованного процесса связанного с бизнес-процессами HR-отдела. Это может привести к тому, что бывшие сотрудники сохраняют доступ к корпоративным системам.
Отсутствие контроля смены паролей: Нет четкого контроля над тем, кто и когда меняет пароли. Это может привести к ситуациям, когда администраторы не могут точно определить, кто изменил пароль и когда это произошло, что усложняет управление доступами и повышает риск несанкционированного доступа
Мне кажется, этих пунктов хватает, что бы согласиться с тем, что пароли являются ключевым элементом в обеспечения информационной безопасности любой компании, а значит требует управления с четкими правилами и требованиями.
Парольная политика в организации — это не просто набор правил для создания сложных паролей. Это комплексная стратегия, направленная на повышение уровня информационной безопасности через контроль и управление учетными записями. Правильно разработанная и последовательно применяемая парольная политика помогает предотвратить несанкционированный доступ к корпоративным ресурсам, защищая тем самым конфиденциальные данные компании от утечек и взлома.
По сути парольная политика помогает решить вышеописанные проблемы. Для этого достаточно будет сделать следующие шаги:
Минимальная длина пароля: Ввести правило для паролей на минимальную длину 8 символов, включающих комбинацию заглавных и строчных букв, цифр и специальных символов. Рекомендуется использовать фразы-пароли (например,»3Электрика! Варят#Борщевик») включающие выше описанные требования. Их сложнее взломать и легче запомнить, чем короткие и сложные пароли. Проверку соответствия правилам нужно делать на этапе создания пароля.
Запрещенные пароли: Включить в политику список запрещенных паролей (например использование в пароле названия организации или фамилию).
Запрет на повторное использование старых паролей: Это поможет минимизировать риск компрометации учетных записей.
Разные пароли для разных систем: Особенно, если дело касается привилегированных учётных записей.
Регулярная смена паролей: Ввести требование по регулярной смене паролей, особенно для важных учетных записей. Рекомендуется менять хотя бы раз в 90 дней.
Второй фактор авторизации: Там, где невозможно усложнить пароль можно ввести второй фактор для авторизации пользователей.
Мониторинг смены паролей: Ввести процесс мониторинга смены паролей и авторизации пользователей.
Связь с HR: Связать процесс создания и блокировки учётных записей с процессом HR-отдела.
Конечно не все так просто и обязательно найдутся силы сопротивляющиеся введению парольной политики. Например запоминание и придумывание множества сложных паролей может быть затруднительным для сотрудников, что часто приводит к использованию небезопасных практик, таких как записывание паролей на бумаге или использование одного пароля для всех учетных записей. В таком случае нужно помочь им соответствующим обучением, взять на себя генерацию пароля или специальными программными средствами вроде корпоративных парольных менеджеров или двухфакторной аутентификации.
Есть у меня знакомая компания в которой пользователи в силу возраста или других факторов были не в состоянии запомнить пароли длиннее 4 символов. В результате генерируют нагрузку на техподдержку. Нашли выход из ситуации оставив им 4-значный пароль, но добавив второй фактор для авторизации. Этот пример показывает, что всегда можно найти компромисс.
При увеличении количества пользователей, используемых приложений и сервисов становится сложнее управлять всеми паролями, поэтому без специализированных инструментов для управления не обойтись. Поддерживать политику сильных паролей можно штатными средствами вроде Group Policy Management Console (GPMC) и Active Directory Administrative Center (DSAC) в случае с инфраструктурой Microsoft или штатными средствами Linux, например PAM (Pluggable Authentication Modules) и файл /etc/login.defs. Так же для упрощения работы с парольными политиками и удобства контроля есть много готовых платных решений. Такие решения дают большую гибкость управления и контроля над политиками паролей. Вот некоторые из них:
Strongpass — для усиления и контроля парольной политики. Помогает администраторам автоматически применять установленные правила и проверять пароли на соответствие требованиям безопасности.
Мультифактор — для введения второго фактора авторизации доступа к корпоративным ресурсом. Добавляет дополнительный уровень безопасности, требуя от пользователей подтверждения своей личности с помощью нескольких факторов, таких как пароль и одноразовый код или биометрические данные
Passwork — Менеджер паролей помогает пользователям создавать, хранить и управлять сложными паролями. Они также могут генерировать уникальные пароли и синхронизировать их на всех устройствах пользователя и при этом хранилище паролей будет локальным под контролем компании.
В заключение
Использование парольных политик в организации является критически важным для защиты данных и систем от кибератак. Сильные пароли, регулярное их обновление, предотвращение повторного использования паролей и использование многофакторной аутентификации помогают значительно снизить риск утечек данных и несанкционированного доступа. Внедрение и соблюдение этих политик способствует улучшению общей безопасности и защите конфиденциальной информации компании.
