Как придумать надежный пароль: требования ИБ, частые ошибки

Правила создания и хранения паролей

Пароль должен быть достаточно сложным. Но — насколько сложным? Есть ли смысл думать над несколькими паролями для разных сайтов или же достаточно одного?

Добавим, что в век цифровизации, пароль стал необходимостью — цифровая жизнь каждого насыщенна и безгранична, мы имеем огромное количество паролей. Как придумать надежный, да так чтобы не сломать голову и запомнить.

Раздумывая над паролем, важно придерживаться следующих правил:

• Ноль персональных данных. Любая личная информация — имя, фамилия, даты рождения, клички домашних животных зачастую является общедоступной, а значит, теоретически, повышает угрозу взламывания пароля.

• От шести символов и выше. Редкая комбинация из строчных и прописных букв вперемешку с числами и символами — вариант, близкий к идеалу. Пароль считается надежным, если имеет минимум 14 символов.

Запомнить непросто, но можно подключить логику: определите ключевое для себя слово, может быть, это порода вашей собаки. Добавьте к нему любимой спорт — сокращенно, оставив лишь первые буквы. Закончите цифрами, которые всегда помните: любое сочетание, которое вызывает ассоциацию.

• Одна учетная запись — один пароль. Уязвимость информации в интернете несет прямую угрозу большому объему данных. Посторонние узнали ваш пароль от конкретной учетной записи, а пароль один на десяток сайтов — поздравляем, в опасности все ваши аккаунты. 

• Двухфакторная аутентификация — вторая форма подтверждения личности, дополнительный уровень защиты. Такой второй защитой может быть телефон или физический ключ безопасности. То есть: у пароля двойная защита, что существенно усложняет злоумышленникам возможность получить доступ к вашим учетным записям.

• Хорошо, если двухфакторная аутентификация есть на всех ваших учетных записях. Данное правило надежного пароля использует способы, доступные только вам: SMS, электронная почта, отпечаток пальца или Face ID.

• Смена пароля — обновляйте пароли регулярно, хотя бы раз в 3 месяца.

• Запрет на разглашение пароля (даже самым близким).

Но как правильно хранить пароли?

Очень часто злоумышленники наносят брутфорс-атаку или атаку полным перебором, Это атака с угадыванием паролей, учетных данных, ключей шифрования и т.п.

Подобная атака не проходит быстро. Программа тратит большое количество времени на длинные комбинации, а вот короткие пароли распознает достаточно быстро.

Отметим, что человеческая память — не всегда надежное средство для хранения паролей. Многие прибегают к помощи генератора паролей. Рассмотрим основные способы хранения паролей в современном мире.

1. Менеджер паролей — пожалуй, самый безопасный метод. Специализированная программа, позволяющая генерировать, упорядочивать и хранить пароли.

Подобных сервисов много, у каждого свои возможности, интерфейс, стоимость, дополнительные функции. Обновление сохраненных паролей в таких программах происходит автоматически, пароль существует в системе в зашифрованном виде и для доступа требует многофакторную аутентификацию.

2. Бумажный носитель — способ распространенный, но все же сомнительный. Записывать пароли удобно, но насколько безопасно? Блокнот можно потерять, на стикер — пролить кофе. Если используете данный метод, храните заветный листок подальше от любопытных глаз.

3. Браузер. Хранить в браузере удобно — не нужно каждый раз при входе в систему вводить пароль. Но безопасно ли? Минус в том, что существует вредоносное ПО, цель которого: поиск и кража учетных данных. Такое ПО «ходит» по папкам, где содержатся сохраненные браузером пароли, ищет ключ безопасности и расшифровывает пароль, после чего «сливает» полученные данные на сервер мошенников. Соответственно, хранить пароль в браузере можно, но далеко не безопасно. 

Платформа Kaspersky ASAP

Это удобная и эффективная онлайн-платформа для повышения осведомленности сотрудников в области IT-безопасности

Попробовать

Частые ошибки компаний в управлении паролями

Строгие требования к длине пароля

В целом, длинную комбинацию символов взломать сложнее, чем короткую. Так сотрудники наверняка будут создавать надежные пароли.

Почему это вредный совет? Категоричные требования к длине паролей могут вызвать нежелательное поведение сотрудников. Например, правило «установить пароль минимум из 14 символов» увеличит вероятность того, что пользователи будут использовать простые повторяющиеся шаблоны, например, «12345671234567». Такие пароли формально соответствуют требованиям, но взламываются легко.

Также, если обязать сотрудников использовать длинные пароли, они могут стараться упростить их, чтобы лучше запомнить, или сохранить в своих документах в незащищенном виде.

Отсутствие правил создания пароля

Бывает, что пароль пользователя не соответствует какому-либо требованию парольной политики. Сотрудник пытается создать пароль, система его не принимает, но пояснений при этом нет. Они особо и не нужны: пусть пользователь попробует еще раз. И незачем тратить время, чтобы описывать все правила создания паролей — так сотрудники тренируют смекалку.

Почему это вредный совет? Далеко не во всех компаниях уделяют внимание информационной безопасности (ИБ), а сотрудники имеют понятие о безопасных паролях.

В то же время пренебрежительное отношение к паролям — первый шаг к тому, что конфиденциальная информация компании рано или поздно попадет в руки злоумышленников. Поэтому сотрудников важно обучать азам ИБ. Знакомство с парольной политикой — часть такого обучения. Но чтобы пользователи что-то усвоили, правила должны быть структурированы и изложены в понятной форме. 

Использование однотипных символов

Длинный пароль — надежный пароль. А насчет того, что нужно использовать буквы в разном регистре, цифры и неалфавитные символы, пользователи сами догадаются.

Почему это вредный совет? Требование к наличию в пароле разных видов символов не всегда делает его надежным. Пользователи также могут снова обратиться к предсказуемым комбинациям — например, укажут заглавную букву в первой позиции. Такой прием легко угадывается злоумышленниками.

Однако пренебрегать правилом включать разные типы символов в пароль не стоит.

Платформа Kaspersky ASAP

Это удобная и эффективная онлайн-платформа для повышения осведомленности сотрудников в области IT-безопасности

Попробовать

Пароли остаются без изменений долгое время

Пользователю достаточно задать длинный пароль, и больше можно вообще о нем не вспоминать. А паролем, в котором есть цифры, строчные и заглавные символы, сможет пользоваться и новый сотрудник, если предыдущий уволится.

Почему это вредный совет? С одной стороны, слишком строгие требования к сроку действия паролей тоже представляют собой проблему. Пользователи могут выбирать очевидные пароли с комбинацией символов, которая похожа на предыдущую. Например, они могут менять одну только букву или цифру. 

Но раз в полгода или год пароли стоит обновлять. Если сотрудник увольняется, их нужно менять сразу же.

Использование парольных подсказок

Если сотрудник забыл свой пароль, с помощью подсказки он сможет вспомнить его самостоятельно, а значит, не будет отвлекать IT-отдел от более важных задач.

Почему это вредный совет? На первый взгляд, это удобное решение, но риски, которые оно несет, перевешивают это удобство. Подсказка, которую задает пользователь, может оказаться достаточно очевидной, и взломщики легко получат доступ к информации.

Что включить в парольную политику

В парольной политике важно соблюдать баланс: с одной стороны, нужно обеспечить достаточный уровень безопасности, но с другой, избежать больших неудобств для пользователей. 

Вот каких правил стоит придерживаться, когда создаете парольную политику:

• Устанавливайте разумную минимальную длину символов в пароле: хотя бы не короче 8 символов. Максимальное число символов не стоит ограничивать. Во всяком случае, оно может определяться техническими возможностями системы, но не политикой.

• Не запрещайте пользователям использовать любые подмножества символов. И задайте условие, чтобы хотя бы один символ был неалфавитный. 

• Давайте пользователям обратную связь при создании пароля в процессе регистрации аккаунта. А если это технически невозможно, ознакомьте пользователя с парольной политикой заранее.

• Не обменивайтесь с пользователем паролями по незащищенным каналам — например, по электронной почте, если пароли создаются IT-отделом организации. 

• Вместо парольных подсказок лучше научить сотрудников использовать парольные фразы — это комбинация слов с пробелами или без. Они длиннее, чем набор случайных символов, но легче запоминаются сотрудниками. Важно, чтобы фразы были достаточно сложными, чтобы обеспечить надежную защиту.

• Менять пароль нужно сразу же, как только появились признаки его компрометации, пользователь уволился или произошла смена ролей пользователей. Если обязать сотрудников менять пароли каждые несколько дней, то это может привести к таким действиям, как добавление символа в конец уже имеющегося пароля или замене одной цифры.

• При этом можно прописать в парольной политике смену пароля в разумные сроки, например, раз в полгода или год. Так нагрузка на пользователя будет минимальной, но и пароль будет обновляться регулярно.

И еще пару слов о том, как повысить безопасность паролей в организации:

• Используйте индикаторы надежности пароля. Хоть это и не гарантирует полную безопасность, но помогает ее повысить, а также облегчает пользователю создание комбинации.

• Установите менеджер паролей. Пароли, которые создаются с его помощью, более надежны, чем придуманные сотрудниками. Кроме того, им не нужно запоминать комбинации, так как они хранятся в менеджере.

• По возможности используйте двухфакторную аутентификацию, когда сотруднику, чтобы войти в систему, нужно предъявлять два доказательства (фактора). Например, пароль и код из смс-сообщения. Как правило, взломщику получить доступ к двум факторам сложнее.

• Применяйте современные решения для комплексной ИБ. Например, Kaspersky Security для бизнеса позволяет управлять безопасностью сотрудников благодаря продвинутым инструментам контроля, в том числе автоматическим регулярным напоминаниям об обновлении паролей и автоматической установке обновлений и патчей ПО.

Примеры надежных паролей

Не трудно догадаться, что слабый пароль — примитивный пароль. Словарное слово «двенадцать» двухсловный пароль «машадаша», слово с числом в конце «sidorov1996» — ненадежные пароли. Так, есть ли сложный и надежный?

Сложно, не спорим. Но менеджер паролей сможет его запомнить. Известный криптограф Брюс Шнайер советует прятать пароль на маленьком листке бумаги в кошельке. Но, к слову, не все носят кошельки. Да и опять-таки — бумажный носитель. Пароль не запомнится и обязательно где-нибудь потеряется. Разумное решение — ассоциация и креатив.

Воспользуйтесь парольной фразой.

Например, вы с детства помните фразу «Выйти сухим из воды». Сокращаем, меняем регистр, используя замену, добавляем символы: «8ыйти_Сухим!Из_8оды%». Отлично, но можно сделать лучше, если воспользоваться латиницей и сократить слова до менее узнаваемых: «8uit_Syx!Uz_8od?%». 

Если вы поклонник футбольной команды Манчестер Сити, ваша парольная фраза может быть такой: IvanL|iK8Man8Siti^98$. 

Данные примеры — примеры надежных паролей.

Не используйте слишком короткий пароль, да еще и с персональными данными. Мошенники получат доступ к вашим учетным записям и всей информации, что есть в аккаунте. Нередки случаи вымогательства денег: преступники пишут вашим знакомым и родственникам, придумывая небылицы вроде болезни и серьезного ДТП. 

Помните, только правильный пароль защитит от взлома. Не забывайте менять его — это в разы уменьшит риск атаки злоумышленников.

Платформа Kaspersky ASAP

Это удобная и эффективная онлайн-платформа для повышения осведомленности сотрудников в области IT-безопасности

Попробовать

Реклама: АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ИНН 7713140469, erid: LjN8K5Pk2