Что такое пароль
Конечно, это понятие всем уже давно знакомо. Но давайте сформулируем ещё раз, чтобы начать с отправной точки. Пароль – это набор специальных символов для ввода в определённой строке, когда требуется подтверждение вашей личности на этапе аутентификации, в момент получения доступа к определённому ресурсу. Конечно, оговоримся, что речь идёт о сфере информационных технологий. Как правило пароли используются совместно с именем пользователя или как ещё его называют: логином, идентификатором, учётной записью.
Какие виды паролей бывают
Пароль может содержать буквы и цифры, а также специальные символы, он может быть разной длинны. Причём, максимального параметра длинны не существует, он можем быть сколь угодно длинным и всё зависит от баланса пользы и сложности обращения с ним или от технических ограничений системы. Когда пароль состоит из нескольких слов, то его называют - парольной фразой, а если он состоит только из цифр, то можно встретить такое наименование, как персональный идентификационный номер (ПИН). Разнообразие и количество символов, включённых в пароль, определяют его сложность или лучше сказать стойкость пароля к взлому. Ведущие эксперты по безопасности рекомендуют использовать парольные фразы. Они обладают достаточной длинной, их легко запомнить, а для стойкости в них можно включить дополнительно цифры и спец. символы.
Как часто нужно менять пароли
Защита паролей от взлома определяется не только длинной и комбинацией различных включённых символов, но сроком действия пароля, т.е. промежутком времени, по истечении которого пароль больше не будет считаться действительным. В компаниях и на предприятиях этот срок определяется парольной политикой, которая разрабатывается и утверждается в организации. В среднем, срок действия пароля в корпоративных политиках определяется +/- 90 дней. И каждый пользователь по истечении срока действия пароля обязан заменить его на новый, иначе не сможет продолжить работу в системе или приложении.
С одной стороны, уже несколько десятилетий пароли являются основным и самым широко используемым механизмом аутентификации пользователей. С другой стороны, парольная защита стала головной болью для подразделений безопасности, потому что именно на средства парольной защиты нацелена значительная часть атак и взломов злоумышленников.
Но если пароли являются недостаточно надёжной защитой, почему мы их до сих пор используем? Конечно, есть альтернативные и более прогрессивные средства аутентификации. Но в каждой конкретной ситуации нужно оценить насколько они экономически эффективны и насколько они подходят пользователям.
Почему появляются проблемы с паролями
При компрометации паролей естественно возрастают риски безопасности. Хакеры применяют различные автоматизированные средства по подбору паролей. Это Брут-форс - атака, направленная на перебор возможных вариантов паролей до тех пор, пока не будет найден правильный вариант. Это старый, но всё ещё эффективный метод для взлома распространённых паролей. Слабый пароль может быть взломан за считанные секунды.
При использовании специальных программ «кейлоггеров» хакеры отслеживают и записывают нажатие клавиш на клавиатуре пользователя и таким образом получают комбинацию идентификаторов и паролей. Методы социальной инженерии и фишинг тоже позволяет злоумышленникам получить чужие учётные данные.
К сожалению, низкая кибергигиена и осведомлённость в части информационной безопасности приводит к печальным последствиям. Пользователи записывают пароли и хранят рядом с рабочим местом или в телефоне, часто один и тот же пароль используются для множества различных приложений и систем. По данным исследования, которое было проведено компанией Ростелеком-Солар: 50% пользователей ненадежно хранят пароли: записывают на бумаге, пользуются автозапомнанием в браузере, хранят в файлах на устройстве, с которого осуществляется вход в аккаунты, а 59% пользователей используют одинаковые пароли для разных аккаунтов – всегда или периодически.
ИТ-ландшафт в средней и крупной компании является сложным и многообразным. Часто на предприятии используется несколько сотен информационных систем и различных приложений, которые используют сотрудники в своей ежедневной работе. В связи с этим, количество паролей, которые требуется запомнить работнику может исчисляться десятками. Неудивительно, что сотрудники предпочитают устанавливать простые пароли и повторять их от системы к системе. Кроме того, в отсутствии жёстких мер корпоративной парольной политики, сотрудники предпочитают не менять свои пароли. Так согласно исследованию Ростелеком-Солар 53% пользователей меняют пароли реже одного раза в год, только когда забывают старый или вообще никогда этого не делают. Все эти факторы конечно несут угрозу безопасности и повышаю риски утраты паролей.
Поможет ли шифрование паролей
Очевидно, что в целях безопасности современные операционные системы и различные приложения не хранят пароли пользователей в открытом виде. Вместо этого, когда пользователь устанавливает новый пароль, введённые буквенно-цифровые символы обрабатываются алгоритмом шифрования, который создаёт уникальное криптографическое хэш-значение, которое и хранится в определённом файле системы. Каждый раз, когда пользователь снова заходит в систему, система генерирует хэш-значение, оно сравнивается с исходным вариантом, который хранится в файле и определяется верен ли введённый пароль.
Ранее хеширование паролей считалось очень надёжным подходом. Потому, что даже если злоумышленник получил системный хэш-файл, требовались огромные вычислительные мощности, чтобы сопоставить введённые случайно комбинации с известными хэш-значениями. Объём оперативной памяти на компьютерах был недостаточен и получение доступа было практически невозможным. Однако, время идёт и вычислительные возможности современных компьютеров изменились. Теперь хакеры могут сопоставить каждую комбинацию последовательностей символов пароля со своим хэш-значением, используя все возможные буквенно-цифровые последовательности. Эти значения сохраняются и откладываются в специализированные общедоступные таблицы, т.н. «rainbow table». На сегодняшний день любой пароль длинной менее 12 символов с большой вероятностью имеет хэш-значение, хранящееся в такой таблице.
Далее эти таблицы используются специальными программами для взлома паролей при атаках на сетевую безопасность. Все компьютерные системы, при доступе в которые требуется аутентификация на основе паролей, хранят базы данных паролей в зашифрованном виде. Как только злоумышленник получает доступ к базе данных паролей системы, он сравнивает предварительно скомпилированный список потенциальных хэшей «rainbow tablee» с хэшированными паролями в базе данных. Находя подходящие комбинации открытого текста с каждым из хэшей, хакер может успешно пройти функцию аутентификации и проникнуть в сеть.
«Rainbow table» значительно ускоряют взлом паролей по сравнению с простым перебором. С их использованием 14-тизначные буквенно-цифровые пароли можно взломать за 160 секунд.
Но даже от таких атак можно защититься, если применять дополнительные меры к шифрованию паролей: использовать современные алгоритмы хэширования и добавлять случайно сгенерированные символы к хэшам паролей.
Как сделать использование паролей более надёжным
В обозримом будущем мы вряд ли сможем совсем отказаться от паролей. Поэтому стоит подумать, как повысить их безопасность. Какие мы предлагаем варианты:
-
Усложните пароль. Необходимо добавить в пароль сочетание различных символов: прописные и строчные буквы, цифры и специальные знаки. Это позволит увеличить время, которое требуется злоумышленникам на взлом пароля, а вам выиграть время для реагирования и предотвращения кибератаки.
-
Увеличьте длину пароля. В настоящее время считается, что минимальная длинна пароля должна быть 8 символов. Мы часто сталкиваемся с таким предупреждением, когда меняем пароль в социальных сетях или на общих ресурсах глобальной сети.
А на многих государственных ресурсах или в корпоративных системах такое условие является обязательным, наряду с другими требованиями.
Но, чем длиннее пароль, тем сложнее его запомнить. А если вы его ещё дополнили различными символами, задача запоминания становится невыполнимой.
Вместо того, чтобы создавать длинную строку бессмысленных символов, используйте кодовые фразы или целые предложения, которые вы можете связать с каким-то событием, фактом, произведением и т.п. Такой пароль будет легко запомнить. Вставим в эту фразу несколько символов и его стойкость многократно увеличится.
Давайте сравним:
Дополнительные методы аутентификации
Многие компании, для доступа к своим конфиденциальным ресурсам предпочитают использовать более надёжную защиту, чем парольная аутентификация. Альтернативные методы и средства могут быть использованы как дополнение или полная замена паролей. Это и биометрия, и использование аппаратных или программных токенов, и одноразовые пароли (OTP) направленные через SMS или PUSH-уведомления и другое. Также применяется технология единого входа (англ. Single Sign On, SSO), когда для доступа в разные приложения используется однократный ввод учётных данных. Это серьёзно снижает нагрузку на пользователей по запоминанию и хранению паролей.
Многофакторная аутентификация (англ. Multi-Factor Authentication, MFA), когда применяется два и более различных факторов аутентификации, помогает усилить защиту ресурсов. Возможно сочетание таких факторов: то, что пользователь знает (пароль), то, что у пользователя есть (токен) и чем пользователь является (биометрия). При компрометации одного фактора на защиту встаёт другой и такой подход позволяет надёжно защитить критически важные системы и приложения компании.
Другие способы защиты паролей
Помимо уже описанных механизмов, которые обычно присутствуют в парольных политиках компаний, стоит отметить какие ещё меры могут быть предприняты для усиления парольной защиты:
-
Ограничение неудачных попыток ввода пароля. Это правило, на основании которого происходит блокировка пользователя, например, когда он сделал 5 неудачных попыток.
-
Внедрение CAPTCHA (англ. Completely Automated Public Turing Test to Tell Computers and Humans Apart). Это технология, которая предлагает конечным пользователям выполнить какую-то задачу, которую не может выполнить программный бот. Если пользователь может выполнить эту задачу, он подтверждает, что он человек, а не машина и тем самым проходит его аутентификация и он получает доступ к ресурсу.
-
Запрет на ввод повторяющихся паролей. Например, пользователь может повторить пароль только после использования 30-ти уникальных паролей.
-
Запрет паролей из стоп-листа. Стоп-лист содержит слабые пароли, которые легко взломать. Это могут быть комбинации цифр - 12345, идущие подряд буквы на клавиатуре - QWERTY и т.п.
-
Срок действия пароля. Это срок, который может быть определён как для постоянного пароля, так и для первичного (дефолтного), после которого потребуется обязательная смена пароля на новый.
-
И другие
Современные решения по управлению доступом, такие как IdM/IGA-система Solar inRights включают различные методы усиления парольной защиты и предлагают максимально широкий набор характеристик паролей, которые удовлетворяют как внутренним стандартам организации, так и требованиям внешних регулирующих органов.
Кроме того, при установке нового пароля пользователем, можно воспользоваться функцией автоматической генерации сложного пароля, с учётом утверждённой политики.
Использование такого решения позволяет настраивать единую парольную политику для всех информационных систем компании. Политика паролей в масштабе всей организации устанавливает правила администрирования паролей, даёт рекомендации для пользователей по безопасности паролей, а также описывает процедуры реагирования на нарушения, связанные с использованием паролей. Это важная часть мероприятий по обеспечению безопасности любого предприятия.
Автор:
Людмила Севастьянова, эксперт центра продуктов Solar inRights компании «Ростелеком-Солар»