Настройки парольной политики

Корпоративная парольная политика – это часть системы информационной безопасности. Она представляет собой набор правил, касающихся назначения надежных паролей и их корректного использования сотрудниками. Ее наличие в компании обеспечивает повышение показателей защищенности информационных систем и их соответствие корпоративным стандартам, а также требованиям руководящих документов (отраслевых, национальных, международных) в области информационной безопасности.

Как и где настраиваются парольные политики

Есть 2 варианта настройки. Первый – настройка парольной политики непосредственно в защищаемых корпоративных информационных системах (далее – ИС). Такая возможность, как правило, реализована в современных продуктах. Но чем больше информационных систем используется в компании, тем больше на это требуется времени.

Второй вариант – централизованная настройка и управление парольной политикой через сторонние решения. Это можно делать, например, с помощью систем класса IdM/IGA, к которым относится наш продукт Solar inRights. Такое программное обеспечение позволяет:

  • Настраивать единые политики для всех корпоративных информационных систем либо для каждой в отдельности.

  • Автоматизировать трансляцию установленных параметров в информационные системы, подключенные к IdM-решению.

  • Устанавливать и менять пароли для доступа к информационным системам в любой момент времени из единой точки. Вводить либо свою комбинацию символов, удовлетворяющую заданным требованиям, либо воспользоваться встроенным генератором паролей.

  • Быстро реагировать на изменения, отраженные в руководящих документах, инциденты, связанные с паролями, их использованием, а также на другие ситуации.

Весомый плюс использования IdM и других внешних инструментов – возможность настройки и управления парольной политикой в информационных системах, в которых изначально не предусмотрено подобного функционала. 

Что включает в себя настройка парольной политики

Настройке подлежит довольно широкий набор параметров. Например, в нашей IdM-системе Solar inRights можно использовать максимально широкий набор параметров, удовлетворяющих самым требовательным стандартам и политикам ИБ. При формировании их перечня были учтены успешные практики и рекомендации NIST, ФСБ России, а также других авторитетных организаций/источников.

Блокировка пользователей после неудачного ввода пароля

При настройке корпоративной парольной политики следует предусмотреть возможность блокировки пользователей после неудачного ввода пароля. Это позволит избежать несанкционированного доступа к учетным записям в защищаемых учетных системах с помощью технологий подбора парольных фраз. Рекомендуется настраивать:

  • Количество неудачных попыток, после которых происходит блокировка.

  • Время, в течение которого совершены эти попытки.

  • Время, на которое блокируется пользователь после неудачного/неверного ввода данных для авторизации. 

Сроки действия первичного и постоянного пароля

Первичный используется для первого входа в учетную запись в ИС, и должен быть изменён в отведённое время, с целью обеспечения дополнительной защиты информации и снижения риска несанкционированного использования данных.

Постоянные пароли не должны быть таковыми в буквальном смысле. Рекомендуется периодически их менять. Периодичность устанавливается компанией при разработке парольной политики самостоятельно либо в соответствии с требованиями и рекомендациями отраслевых нормативных документов или указаний от вышестоящих инстанций. Средние сроки смены паролей в компаниях, практикующих этот подход:

  • 3 месяца – для пользовательских,

  • 2 месяца – для административных,

  • 6 месяцев – для сервисных учетных записей.

Если вы используете IdM для управления политиками пользователей в компании, отслеживать эту периодичность будет легко – система генерирует оповещения о необходимости смены паролей.

Длина пароля и наборы обязательных символов

Эти 2 параметра в совокупности влияют на надежность и устойчивость комбинации к подбору или взлому. NIST и ФСБ РФ рекомендуют использовать сочетания длиной не менее 8 символов.

Что касается обязательных символов, в одной фразе рекомендуется использовать не менее четырех наборов. Как правило, это:

  • буквы нижнего регистра,

  • буквы верхнего регистра,

  • цифры,

  • специальные символы.

Еще один важный параметр, влияющий на безопасность, – количество уникальных символов. Чем меньше повторяющихся знаков, тем надежнее сочетание к взлому или подбору. Оптимальным для комбинации из 8 символов считается наличие как минимум 5 уникальных, неповторяющихся.

Также при настройке парольной политики важно предусмотреть запрет на использование определенных сочетаний символов (например, user, admin, контекстно-зависимые слова, фразы и т. д.). Так как часто пользователи ленятся придумывать надежный пароль, они используют популярные, легко запоминающиеся фразы. В Solar inRights неприемлемость такого подхода реализована с помощью функционала стоп-листа, назначение паролей из которого невозможно.

Еще несколько важных параметров

При настройке парольной политики мы рекомендуем обращать внимание на следующие моменты. Во-первых, на совпадение пароля с именем пользователя или учетной записи. Во-вторых, на количество символов, которые могут повторяться. Целесообразно задать их максимальное число, учитывая, что чем оно выше, тем легче злоумышленникам взломать или подобрать пароль. В-третьих, очень важно определить количество изменяемых символов, используемых при создании новых паролей. Если в организации предусмотрена регулярная смена данных для авторизации, то чем меньше символов в новой и старой комбинации совпадают, тем надежнее пароль и выше его устойчивость к взлому или подбору.

Хорошая практика, усиливающая парольную политику в компании – использование двухфакторной аутентификации. Если в целевой ИС не предусмотрено такого функционала, добавить его можно с помощью сторонних решений через API. 2FA чаще всего реализуется через авторизацию по SMS, по звонку или через специализированные приложения.

Поделиться

Предложи свою тему будущих публикаций

ОТПРАВИТЬ

Спасибо!

Мы обязательно рассмотрим ваше предложение.

Получить консультацию

Отправить

Если IGA-система - то Solar inRights

Решение класса IGA (Identity Governance and Administration) для компаний, которым уже недостаточно простой автоматизации управления правами доступа как отдельной функции.

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах