Настройки парольной политики

Корпоративная парольная политика – это часть системы информационной безопасности. Она представляет собой набор правил, касающихся назначения надежных паролей и их корректного использования сотрудниками. Ее наличие в компании обеспечивает повышение показателей защищенности информационных систем и их соответствие корпоративным стандартам, а также требованиям руководящих документов (отраслевых, национальных, международных) в области информационной безопасности.

Как и где настраиваются парольные политики

Есть 2 варианта настройки. Первый – настройка парольной политики непосредственно в защищаемых корпоративных информационных системах (далее – ИС). Такая возможность, как правило, реализована в современных продуктах. Но чем больше информационных систем используется в компании, тем больше на это требуется времени.

Второй вариант – централизованная настройка и управление парольной политикой через сторонние решения. Это можно делать, например, с помощью систем класса IdM/IGA, к которым относится наш продукт Solar inRights. Такое программное обеспечение позволяет:

• Настраивать единые политики для всех корпоративных информационных систем либо для каждой в отдельности.

• Автоматизировать трансляцию установленных параметров в информационные системы, подключенные к IdM-решению.

• Устанавливать и менять пароли для доступа к информационным системам в любой момент времени из единой точки. Вводить либо свою комбинацию символов, удовлетворяющую заданным требованиям, либо воспользоваться встроенным генератором паролей.

• Быстро реагировать на изменения, отраженные в руководящих документах, инциденты, связанные с паролями, их использованием, а также на другие ситуации.

Весомый плюс использования IdM и других внешних инструментов – возможность настройки и управления парольной политикой в информационных системах, в которых изначально не предусмотрено подобного функционала. 

Что включает в себя настройка парольной политики

Настройке подлежит довольно широкий набор параметров. Например, в нашей IdM-системе Solar inRights можно использовать максимально широкий набор параметров, удовлетворяющих самым требовательным стандартам и политикам ИБ. При формировании их перечня были учтены успешные практики и рекомендации NIST, ФСБ России, а также других авторитетных организаций/источников.

Блокировка пользователей после неудачного ввода пароля

При настройке корпоративной парольной политики следует предусмотреть возможность блокировки пользователей после неудачного ввода пароля. Это позволит избежать несанкционированного доступа к учетным записям в защищаемых учетных системах с помощью технологий подбора парольных фраз. Рекомендуется настраивать:

• Количество неудачных попыток, после которых происходит блокировка.

• Время, в течение которого совершены эти попытки.

• Время, на которое блокируется пользователь после неудачного/неверного ввода данных для авторизации. 
  

Сроки действия первичного и постоянного пароля

Первичный используется для первого входа в учетную запись в ИС, и должен быть изменён в отведённое время, с целью обеспечения дополнительной защиты информации и снижения риска несанкционированного использования данных.

Постоянные пароли не должны быть таковыми в буквальном смысле. Рекомендуется периодически их менять. Периодичность устанавливается компанией при разработке парольной политики самостоятельно либо в соответствии с требованиями и рекомендациями отраслевых нормативных документов или указаний от вышестоящих инстанций. Средние сроки смены паролей в компаниях, практикующих этот подход:

• 3 месяца – для пользовательских,

• 2 месяца – для административных,

• 6 месяцев – для сервисных учетных записей.

Если вы используете IdM для управления политиками пользователей в компании, отслеживать эту периодичность будет легко – система генерирует оповещения о необходимости смены паролей.

Длина пароля и наборы обязательных символов

Эти 2 параметра в совокупности влияют на надежность и устойчивость комбинации к подбору или взлому. NIST и ФСБ РФ рекомендуют использовать сочетания длиной не менее 8 символов.

Что касается обязательных символов, в одной фразе рекомендуется использовать не менее четырех наборов. Как правило, это:

• буквы нижнего регистра,

• буквы верхнего регистра,

• цифры,

• специальные символы.

Еще один важный параметр, влияющий на безопасность, – количество уникальных символов. Чем меньше повторяющихся знаков, тем надежнее сочетание к взлому или подбору. Оптимальным для комбинации из 8 символов считается наличие как минимум 5 уникальных, неповторяющихся.

Также при настройке парольной политики важно предусмотреть запрет на использование определенных сочетаний символов (например, user, admin, контекстно-зависимые слова, фразы и т. д.). Так как часто пользователи ленятся придумывать надежный пароль, они используют популярные, легко запоминающиеся фразы. В Solar inRights неприемлемость такого подхода реализована с помощью функционала стоп-листа, назначение паролей из которого невозможно.

Еще несколько важных параметров

При настройке парольной политики мы рекомендуем обращать внимание на следующие моменты. Во-первых, на совпадение пароля с именем пользователя или учетной записи. Во-вторых, на количество символов, которые могут повторяться. Целесообразно задать их максимальное число, учитывая, что чем оно выше, тем легче злоумышленникам взломать или подобрать пароль. В-третьих, очень важно определить количество изменяемых символов, используемых при создании новых паролей. Если в организации предусмотрена регулярная смена данных для авторизации, то чем меньше символов в новой и старой комбинации совпадают, тем надежнее пароль и выше его устойчивость к взлому или подбору.

Хорошая практика, усиливающая парольную политику в компании – использование двухфакторной аутентификации. Если в целевой ИС не предусмотрено такого функционала, добавить его можно с помощью сторонних решений через API. 2FA чаще всего реализуется через авторизацию по SMS, по звонку или через специализированные приложения.