Получить консультацию по Solar SafeInspect

Пароли — уникальные комбинации символов, которые защищают учетные записи и используются для аутентификации пользователей при их входе в компьютерные системы, сервисы и приложения. Компрометация паролей приводит к взлому аккаунтов и несанкционированному доступу к чувствительной информации. Риски серьезных последствий для компании будут выше, если речь идет об учетных записях (УЗ) привилегированных пользователей, которым назначены расширенные полномочия для работы с базами данных, бизнес-приложениями, средствами защиты, сетевой инфраструктурой. Чтобы избежать компрометации, необходимо организовать надежное хранение сложных паролей. Рассказываем, какие меры для этого следует предпринять.

Как злоумышленники крадут пароли

Киберпреступники используют различные способы кражи учетных данных, например:

  • Брутфорс-атаки — подбор учетных данных с помощью специализированных программных решений и просто методом перебора.
  • Восстановление паролей из хешированных функций. Этот вариант возможен, если в корпоративных системах не применяются сложные алгоритмы с добавлением модификаторов входа.
  • Социальная инженерия, в частности фишинг. Злоумышленники применяют различные приемы манипуляции, чтобы получить от жертв необходимые данные.

Если компания не предусмотрела механизма надежного хранения сложных паролей, учетные данные могут в результате атаки или из-за ошибок сотрудников утечь в сеть и в дальнейшем использоваться злоумышленниками.

компрометация паролей

Основные правила создания надежных паролей

Пароль — первый уровень защиты аккаунтов от взлома. Если он будет слабым, злоумышленники без труда подберут его и получат доступ к конфиденциальным данным. Существует такое понятие, как энтропия паролей — показатель того, насколько сложно будет угадать комбинацию, составляющую пароль. Некоторые уверены, что энтропию можно увеличить за счет использования цифр и специальных символов. На самом деле гораздо важнее другие факторы, например:

  • Длина пароля. В нем должно быть минимум 12 составляющих, а лучше — 16. Не так важно, что включить в пароль: буквы, цифры или специальные знаки. Длинный пароль, представляющий собой кодовую фразу, будет не менее надежным, чем сочетание различных символов.
  • Отсутствие шаблонов. Надежный пароль должен быть небанальным. Следует избегать использования имен, дат рождения, наименований должностей (например, admin), сочетаний рядом стоящих букв и цифр. Если комбинация будет шаблонной, злоумышленники могут легко угадать ее методом перебора.
  • Уникальность. Лучше создать отдельные пароли для каждой системы, хотя есть мнение, что можно использовать одну надежную комбинацию. И все же многие в целях перестраховки предпочитают придерживаться уникальности и периодически производить ротацию учетных данных.

Следует учитывать, что даже самые сложные пароли могут быть скомпрометированы, если компания не продумала, где и как их хранить. Ответственный подход к хранению — не менее важный аспект защиты учетных данных, чем надежность комбинаций. И еще — если не хотите, чтобы пароли утекли, никому их не сообщайте.

Где и как хранить пароли

Варианты хранения сложных паролей:

  • Резервное копирование учетных данных на физический носитель, например флеш-карту. Это не самый удобный вариант, если список паролей постоянно меняется. К тому же физический носитель может быть потерян или украден, а значит, есть вероятность, что база учетных данных окажется в руках злоумышленников.
  • Использование менеджера паролей — специальной программы, которая генерирует сложные комбинации, обеспечивает шифрование и надежное хранение. Это удобно, поскольку все данные находятся в одном месте, а получить к ним доступ можно с любого устройства.
  • Облачное хранение сложных паролей. В таком случае в облачном корпоративном хранилище создается отдельный файл, куда копируются все идентификаторы и пароли от учетных записей. Это удобно, но не всегда безопасно, поскольку злоумышленники теоретически могут получить доступ к облаку.

Коротко расскажем и о том, как нельзя хранить пароли от корпоративных аккаунтов. В целях безопасности не следует записывать учетные данные в личные блокноты или на стикеры, которые размещаются на рабочем месте. В таких случаях кто-то из сотрудников или посетителей офиса компании может увидеть информацию и использовать ее в злоумышленных целях.

где и как хранить пароли

Применение PAM-платформы Solar SafeInspect для решения задачи управления паролями

Solar SafeInspect — отечественная полнофункциональная платформа класса Privileged Access Management (PAM). Она предназначена для организации безопасного привилегированного доступа и контроля действий сотрудников с правами высокого ранга. Ключевые функции платформы:

  • Применение механизмов многофакторной аутентификации для подтверждения легитимности использования привилегированных аккаунтов.
  • Проксирование рабочих сессий пользователей с правами доступа высокого ранга.
  • Мониторинг привилегированных сеансов в режиме реального времени.
  • Запись сессий и хранение собранных материалов, предоставление инструментов для аналитики и аудита действий привилегированных пользователей.

PAM-система будет полезна и в части защиты привилегированных учетных записей. Одна из функций решения — управление сложными паролями. Solar SafeInspect обеспечивает надежное хранение и периодическую ротацию согласно заданному расписанию.

PAM-система также может контролировать использование привилегированных аккаунтов в защищаемых системах и предотвращать утечки УЗ путем сокрытия и подстановки атрибутов. Благодаря этой функции сотрудникам не нужно вручную вводить идентификаторы и пароли. Пользователи проходят процедуру аутентификации под непривилегированными аккаунтами, затем Solar SafeInspect по заданным параметрам сопоставляет входящие учетные записи с исходящими учетными записями на целевом ресурсе и автоматически подставляет нужные учетные данные.

Преимущества использования Solar SafeInspect для хранения сложных паролей

Внедрение PAM-системы позволит облегчить работу с паролями от привилегированных аккаунтов, соблюсти нормативные и отраслевые требования в части защиты данных.

Сильные стороны решения для управления привилегированным доступом и хранения сложных паролей:

  • Повышенная защита от компрометации учетных данных привилегированных пользователей.
  • Шифрование всех сведений, которые хранятся в системе, в том числе и паролей.
  • Реализация механизмов резервирования и отказоустойчивости, обеспечивающих работоспособность системы в критических ситуациях.
  • Удобный и наглядный интерфейс, в котором легко разобраться без специальных навыков.

В качестве дополнительного преимущества можно отметить, что платформа Solar SafeInspect прошла сертификацию ФСТЭК России по четвертому уровню доверия. Сертификат подтверждает, что система отличается высокой надежностью, полностью соответствует нормативным требованиям, может использоваться для хранения сложных паролей и решения других задач, связанных с привилегированным доступом.

PAM-система для хранения сложных паролей

ЗАКЛЮЧЕНИЕ

Надежное хранение сложных паролей от привилегированных аккаунтов — одна из ключевых задач в части обеспечения информационной безопасности. Чтобы избежать компрометации учетных данных и предотвратить несанкционированное использование корпоративных ресурсов, компании могут воспользоваться возможностями PAM-системы Solar SafeInspect. Система обеспечивает сокрытие и подстановку атрибутов привилегированных УЗ, хранение и периодическую смену паролей. Чтобы подробнее узнать об этих и других функциях решения, оставьте заявку на консультацию экспертов.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

SSH и RDP: распространенные протоколы подключения

SSH и RDP: распространенные протоколы подключения

Узнать больше
Использование привилегированных учетных записей при проведении атак на инфраструктуру

Использование привилегированных учетных записей при проведении атак на инфраструктуру

Узнать больше
Управление доступом к критичным ресурсам компании

Управление доступом к критичным ресурсам компании

Узнать больше