`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Юрий Борсуковский

И снова в первый класс или Новые требования к парольным политикам

+33
голоса

Американский NIST сформулировал новые рекомендации относительно создания парольных политик корпоративных пользователей.

И снова в первый класс или Новые требования к парольным политикам

В них впервые предложено использовать шаблон для парольных политик с учетом «менталитета» пользователей и отказаться от неэффективной и трудозатратной практики выполнения действий, которые не улучшают безопасность.

Учитывая рекомендации, которые выдвинул NIST, можно выделить несколько основных положений.

Аутентификация с помощью ответов на вопросы, которые пользователь дал заранее, а также использование SMS-сообщений в двухфакторной аутентификации из-за проблем с безопасностью их доставки является неэффективной. Это основывается на том, что: устройство может быть заражено вредоносным программным обеспечением (ПО); возможно перенаправление сообщения злоумышленникам; хакеры могут атаковать сеть оператора связи и др.

Установление срока окончания действия пароля без особой необходимости нецелесообразно (хотя практический опыт дает основания действовать наоборот - устанавливать срок жизни сложного пароля от 6 до 12 месяцев).

Учетные данные целесообразно изменять в случаях, когда они были забыты, украдены с помощью фишинга или взломаны.

Длина пароля должна быть не менее 8 и не более 64 символов. При этом целесообразно проверять пароли с помощью частотных словарей, а также отказаться от порочной практики использования подсказок и вспомогательных вопросов, которые упрощают взлом паролей и их восстановление (типа «Имя вашего питомца?», «Какое девичье имя вашей матери?» и т.п.).

Последнее утверждение основано на том, что пароли должны храниться в хешированном виде с добавлением модификатора (не менее 32 бит), а ограничение длины не должно быть обязательным (модификатор - строка данных, которая передается хэш-функции вместе с паролем. Используется для удлинения строки пароля, чтобы увеличить сложность взлома).

Дополнительно пользователям должна быть обеспечена возможность использовать все печатные символы ASCII, пробелы и символы UNICODE, включая емодзи (смайлики). Использование парольных фраз и их проверка с помощью частотных словарей позволит выбирать любые существующие знаки пунктуации и любой, выбранный пользователями, язык, а также исключить из употребления такие широко применяемые варианты, как «qwerty», «welcom», «ThisIsPassword» и т.д.

На основании анализа вышеизложенных рекомендаций NIST, можно сформулировать базовые требования к созданию парольных политик корпоративных пользователей.Для удобства приведем их в виде правил, которые легко могут быть адаптированы в любую парольную политику.

Напомним, что парольная политика устанавливает требования к порядку выбора, хранения, использования, периодичности смены и других вопросов, связанных с применением механизмов парольной аутентификации в информационных системах и прикладных приложениях.

Требования по созданию парольных политик корпоративных пользователей

Правило 1.

Длина пароля должна составлять не менее 8 символов. При этом пароль должен быть похожим больше на криптографический ключ в виде набора случайных символов, чем на секретное слово. Так, например,

при длине пароля от 8 до 11 символов обязательно должен использоваться микс (смесь) букв в нижнем и верхнем регистре, цифрами и спецсимволами;

длина пароля от 12 до 16 символов должна предусматривать использование микса букв в нижнем и верхнем регистре и цифр;

длина пароля от 16 до 21 символа должно основываться на использовании микса букв в нижнем и верхнем регистрах;

при длине пароля более 22 символов целесообразно использовать любые буквенные символы.

Длина пароля для мобильных устройств не должна быть менее 15 символов. Содержание пароль должен состоять из букв и цифр нижнего и верхнего регистров. Например, пароль для банковского приложения: 8xaFTMT8OZWxa1xv.

Правило 2.

Пароль не может состоять из одного слова, которое появляется в словаре (на украинском или любом другом языке). При формировании пароля целесообразно использовать кодовую фразу из нескольких слов.

Примечание: не все сайты и приложения поддерживают такую возможность. Часто длина пароля ограничивается сверху, что не позволяет использовать при формировании пароля длинные фразы.

Правило 3.

В устойчивом пароле должно быть не менее 3-х спецсимволов, 3-х цифр, 3-х заглавных и 3-х строчных букв.

Для облегчения запоминания пользователем требований к построению пароля - назовем это правило «правилом 3х4».

Пример построения стойкого пароля:

ФРАЗА: «Ежик в тумане. Мультфильм хороший и веселый»

ПАРОЛЬ: - *v~DisneyGo0d:)

  • *” - «ежик»;

  • v” - «в»;

  • ~” - «туман»;

  • Disney” - популярна студия мультфильмов;

  • Go0d” - “good” –> «золото» -> «хороший»;

  • :)” - «веселый».

ФРАЗА: «Снег зимой, а летом солнце»

ПАРОЛЬ: - *Pbvjq@ Ktnjv /o\

  • *” - «снег»;

  • Pbvjq” - на английской раскладке клавиатуры русскими буквами «Зимой»;

  • @” - «а»;

  • Ktnjv” - на английской раскладке клавиатуры русскими буквами «Летом»;

  • /o\” - «солнце».

Примечание: не используйте ни один из приведенных примеров в качестве пароля!

Правило 4.

При большом количестве учетных записей (более трех) желательно использовать функционал менеджеров паролей и обеспечить дополнительную защиту базы данных и ключевого файла менеджера паролей с помощью сертификата. Для этого может быть использован любой внешний носитель с аппаратным шифрованием (типа гибридных USB-аутентификаторов), использование которого позволит пользователю хранить сертификаты, секретные ключи и базы данных менеджера паролей. Политика блокировки учетных записей пользователей должна быть при этом ориентирована на следующие требования:

  • количество ложных вводов пароля - хх (рекомендуется 11);

  • время блокировки учетной записи - хх ч (рекомендуется 3 ч.);

  • время доступа пользователей до Active Directory - с хх.хх до хх.хх.

Правило 5.

С целью предотвращения несанкционированного доступа к рабочим местам пользователей, а также к ресурсам корпоративной сети с использованием чужих учетных записей (имен пользователей), пользователи обязаны блокировать экраны своих компьютеров в случае оставления ими своего рабочего места нажатием на компьютерной клавиатуре набора клавиш Ctrl + Alt + Del и далее - кнопки «Блокировки» («Lock Workstation»).

Правило 6.

Пользователям запрещается:

  • сообщать свой пароль кому-либо, включая своих коллег, друзей, непосредственных руководителей, специалистов служб технической поддержки и информационной безопасности;

  • хранить пароли в доступной для неуполномоченных лиц форме, в командных файлах, сценариях автоматической регистрации, программных макросах, функциональных клавишах терминала, на компьютерах с неконтролируемым доступом, а также в других местах, где неуполномоченные лица могут получить к ним доступ;

  • записывать пароли и оставлять эти записи в местах, где к ним могут получить доступ неуполномоченные лица;

  • использовать общие пароли для доступа к информационным системам и интернет-ресурсов дома и на рабочем месте;

  • использовать общие пароли совместно с другими сотрудниками организации.

+33
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT