Некоторые вещи никогда не меняются в безопасности паролей

Последнее обновление Июл 27, 2023

Когда вы профессионал в области безопасности, у вас много разговоров, к которым вы привыкли много раз. Есть разговор «Да, мы должны провести бизнес-обзор и утвердить политику безопасности». Классическая «Нет, мы не можем просто дать всем доступ к этой акции, чтобы сделать вашу жизнь проще».

Однако есть некоторые разговоры, которые большинство из нас считают уже сказанными и сделанными. Со всеми нарушениями в заголовках, в которых говорится об украденных паролях , можно подумать, что идея о том, что пароли необходимо регулярно менять, является довольно устоявшейся проблемой. Я не ожидаю, что кто-то будет спорить, когда я говорю «пароли следует регулярно менять».

Если вы планируете в ближайшее время поехать в Великобританию, вы можете попытаться спорить о необходимости заново менять пароли. Недавно CESG, группа по безопасности коммуникационной электроники — группа в правительственной штаб-квартире правительства Великобритании (GCHQ) — выпустила новую консультацию под названием « Проблемы с принудительным истечением срока действия пароля ». В нем утверждается, что «затраты на юзабилити» истечения срока действия пароля приводят к большим проблемам, чем они того стоят. Резюме их аргумента:

[su_quote] Новый пароль, возможно, использовался в другом месте, и злоумышленники также могут использовать это. Новый пароль также более вероятно будет записан, что представляет собой еще одну уязвимость. Новые пароли также с большей вероятностью будут забыты, что влечет за собой затраты на производительность пользователей, которые заблокированы из своих учетных записей, а службы поддержки вынуждены сбрасывать пароли. Это один из тех нелогичных сценариев безопасности; чем чаще пользователи вынуждены менять пароли, тем больше общая уязвимость для атаки. [/ su_quote]

С чего начать? Начнем с того, где они правы. Люди, использующие одинаковые пароли для нескольких учетных записей, являются проблемой. Люди, записывающие пароли или усталость пользователя от управления паролями в качестве предлога для оправдания слабых паролей, являются большими проблемами. Простые пароли взламываются проще, и когда люди повторно используют пароли, взломать вашу любимую службу доставки корма для собак означает, что у них есть пароль, который предоставляет корпоративные данные.

Таким образом, это не так, как они полностью в левом поле. Напрашивается вопрос: достаточно ли этих причин, чтобы сказать, что мы должны отказаться от идеи смены паролей? Могу поспорить, вы можете угадать мой ответ.

Не все пароли созданы равными

Первое, что поразило меня, когда я начал читать эту рекомендацию, это то, что они собирались перейти к совету об использовании многофакторной аутентификации или других одноразовых, устройств или контекстных методов для аутентификации пользователей. Когда я читал до конца, я был очень удивлен, что они этого не сделали.

Мне казалось, что совет, призывающий пользователей не менять пароли, должен был стать уловкой, чтобы заставить их купить более надежную аутентификацию. Когда я понял, что это не так, я был почти уверен, что что-то пропустил, поэтому я вернулся и перечитал все заново.

Во втором чтении другая большая проблема ударила меня. Они не делали никаких реальных различий по поводу тех паролей, о которых говорили. Если вы ограничиваете обсуждение паролями пользователей, то, возможно, их обсуждения будет достаточно для обсуждения. Когда вы включаете область административных, системных, сервисных и других типов учетных записей, тогда вообще нет обсуждения.

Кажется, что контекст существует для того, чтобы ограничить то, что они говорят конечным пользователям, но не говорит, что явно делает этот совет очень опасным. Вполне возможно, что небольшие магазины с очень небольшим количеством выделенных ИТ-специалистов могут принять это слишком близко к сердцу и начать заниматься некоторыми очень опасными практиками.

Распространение паролей для веб-сайтов является источником усталости от запоминания паролей в большинстве случаев. Когда нарушения раскрывают списки паролей в Интернете, самый первый совет, который вы получите: поменяйте свои пароли!

Настоящие лидеры, такие как Google, Microsoft и Apple, приняли метод многофакторной аутентификации ( который каждый умный пользователь должен включить немедленно ), чтобы защитить своих пользователей, потому что они знают, что одних паролей недостаточно. Это единственное место, где организации должны быть осторожны, подражая благам, которые могут предложить потребительские технологии, а не просто тому, что кажется классным.

CESG фиксирует нечто очень реальное в этом сообщении. Когда единственная хитрость, которую администраторы имели в своей сумке для защиты паролей, заставляла их быть длинными, сложными и постоянно вращающимися, мы узнали, что эта, казалось бы, правильная практика может привести к очень плохим результатам, как описывает CESG.

Существует возможность смягчения политики в отношении того, как часто вы изменяете пароли для конечных пользователей, но это необходимо делать совместно с такими вещами, как коды, отправляемые на телефоны, для обеспечения хитрых операций, таких как «большие мальчики» на стороне потребителя.

Прежде всего, пользователи должны быть осведомлены о границе между работой и домашней жизнью в сфере технологий. Смена паролей дома — это рутина, которую вы можете пропустить на свой страх и риск. Смена паролей на работе — это тонкая грань ответственности, которая часто стоит между нами и плохими парнями, получающими данные нашей организации.

Есть способы скопировать потребительскую сторону, чтобы продвинуться, но брать от лучших — не от остальных.