Атрибутивная модель управления доступом
Узнать большеПароли — ключи к учетным записям (УЗ). От их надежности во многом зависит защищенность пользовательских аккаунтов, поэтому комбинации должны быть сложными и нетипичными. Также компаниям необходимо предусмотреть грамотное и организованное управление паролями, реализовать меры защиты корпоративных аккаунтов от взлома. Рассказываем, какую роль в этом может сыграть решение класса Identity and Access Management (IdM-система), как она помогает настраивать и применять парольные политики.
Что такое управление паролями пользователей
Управление подразумевает создание надежных паролей в соответствии с парольными политиками организации, периодическую ротацию согласно расписанию (например, раз в 30, 60, 90 дней), надежное хранение. Также можно предусмотреть возможность блокировки пользователей после нескольких неудачных попыток войти в систему. В парольных политиках должно быть прописано количество допустимых ошибок при вводе учетных данных, промежутки времени между попытками, время действия блокировки.
Важность грамотного управления паролями пользователей
Начнем с примеров инцидентов, связанных с ненадлежащим хранением и неправильным использованием паролей. Первый пример — слишком простые банальные комбинации, которые легко угадать или подобрать с помощью специальных методов взлома аккаунтов. Если злоумышленники завладеют паролями, то получат доступ к учетной записи и всем полномочиям ее владельца. Особенно опасен взлом привилегированных УЗ, наделенных расширенными правами.
Второй пример нарушения работы с паролями — хранение учетных записей в ненадлежащих местах, например, в блокноте или на доске для записей. В таких случаях учетными данными могут воспользоваться третьи лица, желающие получить доступ к конфиденциальной информации.
Третий пример — длительное использование одного и того же пароля. Если годами действует одна и та же комбинация, риски компрометации учетных данных сильно возрастают.
Эффективное управление паролями позволяет свести к минимуму вероятность взлома и несанкционированного использования чужих аккаунтов, обеспечить соблюдение требований регуляторов в части защиты конфиденциальных данных.
Рекомендации по управлению паролями пользователей
Базовые меры, которые должны предприниматься компаниями:
- Создание надежных паролей. Комбинации должны состоять как минимум из 8-10 символов, включать строчные и прописные буквы, специальные знаки. Нельзя использовать в качестве пароля даты рождения или имена, банальные 12345678, admin или qwerty. Такие фразы легко подобрать даже без специальных инструментов для взлома аккаунтов.
- Реализация политик смены паролей. Необходимо определиться с периодичностью установки новых атрибутов учетных записей, например, раз в 3 месяца. Пароли от привилегированных УЗ рекомендуется менять чаще.
- Многофакторная аутентификация в системах управления паролями. Чтобы учетные данные были надежно защищены, для доступа к ним пользователи должны пройти как минимум двухшаговую проверку с применением разных факторов, например фактор знания – это пароль и фактор владения – это получение одноразового кода на своё личное устройство, которым владеет.
- Обучение пользователей, повышение осведомленности о необходимости правильного хранения и использования паролей (парольных фраз). Также следует рассказать сотрудникам про социальную инженерию — атаки, основанные на психологических манипуляциях с целью получить от жертвы необходимую информацию. Сейчас это распространенное явление, поэтому важно знать меры защиты.
- Отказ от использования одинаковых паролей для разных УЗ. Если комбинация будет одна, при ее взломе злоумышленники получат доступ к нескольким аккаунтам.
- Применение методов шифрования, которые позволяют защитить пароли при передаче по сети. Даже если хакеры перехватят данные, то не смогут их прочитать.
Комплекс используемых методов управления паролями пользователей должен быть прописан в парольной политике организации. Туда же можно включить дополнительные меры безопасности, которые помогут усилить защиту корпоративных аккаунтов.
Программные решения для управления паролями
Многие компании используют специальные системы — менеджеры паролей. Они могут выполнять следующие функции:
- Генерация надежных парольных фраз для разных учетных записей.
- Шифрование и хранение паролей в цифровом хранилище с целью защиты от утечки.
- Автоматическая подстановка учетных данных при входе в корпоративные целевые системы.
Системы управления паролями могут быть бесплатными и платными, для личного и командного применения, с базовой или расширенной функциональностью. Компании чаще всего выбирают платные версии, интегрируемые с большим количеством используемых для работы программ.
Коротко опишем схему работы такого решения. Менеджер паролей при входе в систему или приложение считывает учетные данные и сохраняет их в хранилище, спустя определенное время предлагает произвести ротацию парольных фраз, отслеживает все изменения. Некоторые системы выполняют автоматическую подстановку атрибутов учетных записей.
Преимущества использования системы управления паролями
Вручную генерировать надежные пароли, обеспечивать их правильное хранение и своевременную смену достаточно сложно, особенно если речь о большой компании с сотнями и тысячами сотрудников. Что даст использование системы управления паролями:
- Повышение уровня защищенности корпоративных учетных записей, в том числе привилегированных.
- Снижение риска человеческого фактора, который часто приводит к нарушению правил безопасного хранения паролей.
- Оптимизацию процессов управления учетными записями, зарегистрированными в информационных системах, используемых компанией.
- Автоматизацию смены паролей по заранее заданному расписанию.
Благодаря внедрению системы большинство операций с паролями будет автоматизировано, что положительно скажется на уровне информационной безопасности организации.
Критерии выбора решения для управления паролями пользователей
Какие факторы следует учитывать:
- Удобство и продуманность интерфейса. Желательно, чтобы функциональности были обозначены на русском языке — это упростит эксплуатацию системы для тех, кто не владеет английским.
- Совместимость с операционной системой и программными решениями, используемыми компанией.
- Высокий уровень обеспечения безопасности хранимых паролей.
- Широкая функциональность, позволяющая совершать все необходимые операции с учетными данными.
- Наличие технической поддержки от вендора для быстрого решения вопросов, связанных с эксплуатацией системы.
Необязательно использовать отдельную систему управления паролями — подойдут многофункциональные платформы класса IdM, к которым относится наше решение Solar inRights. Продукт предназначен для управления полным циклом жизни УЗ и контроля пользовательского доступа к корпоративным информационным ресурсам. В платформу включена функциональность для оптимизации работы с паролями, защиты учетных данных.
Перед полноценным внедрением системы управления паролями можно протестировать пилотную версию. Это позволит убедиться, что решение отвечает требованиям компании.
Управление паролями с помощью Solar inRights
Какие задачи может выполнять система:
- Автоматическая генерация надежных паролей в соответствии с требованиями внутренних политик ИБ.
- Сброс старых паролей и установка новых в рамках плановой ротации через определенные временные периоды.
- Гибкое применение парольных политик для отдельных информационных ресурсов или для всех используемых компанией систем.
Расширенные функции Solar inRights в части управления паролями пользователей позволяют не только повысить уровень информационной безопасности, но и снизить нагрузку на сотрудников ИТ-отдела, освободив их от необходимости вручную генерировать и устанавливать атрибуты учетных записей.