Посібник із паролів у вашій організації
Оригінал статьї - https://www.comparitech.com/net-admin/passwords-in-organizations-guide/
Мережні адміністратори зобов’язані використовувати найкращі практики щодо паролів, щоб забезпечити безпеку даних і ресурсів організації.
NIST - Національний інститут стандартів і технологій , видає вказівки щодо паролів, які представляють найкращі практики щодо захисту пароля. NIST є агентством Міністерства торгівлі США. Це державна служба, отже, не обумовлена конкретними комерційними інтересами.
Рекомендації щодо паролів NIST стали надійним джерелом для тих, хто шукає кращих практик. Однак наразі ці стандарти змінюються, оскільки Інститут переглядає всі свої рекомендації. Інша проблема зі стандартами NIST полягає в тому, що їх важко зрозуміти, а ядро важливих дій поховано в офіційній термінології та державному процедурному форматуванні.
Щоб уникнути плутанини, ми підготували повний посібник із впровадження безпечних паролів і написали ці вказівки чіткою та простою англійською мовою.
Ось короткий перелік моментів, які ви повинні зараз застосувати у своїй політиці паролів:
1) Блокувати повторне використання пароля.
2) Перевірка для типових паролів.
3) Скасуйте вимогу щодо спеціальних символів.
4) Дозволити всі символи, включаючи пробіли.
5) Дозволити копіювання та вставлення паролів.
6) Скасувати примусову ротацію паролів.
7) Подовжити поля пароля.
8) Нехай користувач бачить пароль, обмежує спроби і не використовує підказки.
9) Використовуйте 2FA – SMS добре.
Це головні вказівки поточних рекомендацій щодо паролів NIST. Обґрунтування кожного з цих ключових моментів і те, як їх слід реалізувати, пояснюється в наступних розділах.
1. Блокуйте повторне використання пароля
Ця рекомендація має два значення.
- Користувачу не слід вибирати той самий пароль, який використовується для інших входів.
- Користувачі не повинні переключатися між двома паролями.
По правді кажучи, у сучасному світі кожному важко запам’ятати багато паролів для всіх місць, де потрібно ввійти. Щоб уникнути небезпеки блокування, вони використовуватимуть один пароль у всіх ситуаціях.
Проблема постійного використання однакового пароля в усіх системах полягає в тому, що часто облікові дані для входу прив’язані до електронної адреси користувача. Незважаючи на те, що багато людей мають більше ніж один обліковий запис електронної пошти, середня кількість облікових записів електронної пошти на одну особу все ще відносно низька – наразі в середньому на одну особу припадає близько 1,75 облікових записів.
Навіть ті люди, які мають багато облікових записів електронної пошти, як правило, використовують один обліковий запис електронної пошти значно частіше, ніж інші. Така ситуація полегшує хакерам відстеження користувачів у різних системах. Особливо це стосується випадків, коли адреса електронної пошти використовується як ім’я користувача облікового запису. Отже, якщо хакер виявляє пароль користувача в одній системі, його дуже легко передати в програмне забезпечення для автоматизованих спроб доступу до інших систем.
Використовуйте служби перевірки паролів, які перевіряють схожість паролів у системах, щоб запобігти використанню користувачами вашого процесу автентифікації тих самих паролів, які вони використовують в інших системах.
По правді кажучи, це важко реалізувати, тому що ви не зможете побачити паролі, які використовують ваші користувачі в усьому світі. Однак у рамках ваших зусиль з навчання користувачів зробіть ключовою рекомендацією оригінальність пароля, який вони використовують для вашої системи.
Повторне використання пароля у вашій системі набагато легше заблокувати. Системи скидання пароля часто перевіряють, чи не збігаються поточний пароль користувача та новий пароль, який він запитує. Цю стратегію легко застосовувати програмним шляхом, оскільки вони просто вимагають від користувача ввести свій старий пароль в одне поле та новий пароль в інше поле на тому самому екрані. Пряме зіставлення шаблонів створює ідентифікацію повторюваного пароля.
Завдяки широкому використанню облікових даних користувача для всього в наші дні. Кожен власник облікового запису у вашій системі став експертом у створенні паролів, і всі вони знають, як обдурити систему. Вони переключатимуться між двома дуже схожими паролями – часто лише з додаванням додаткового символу в кінці.
Замість того, щоб використовувати систему перевірки паролів, яка лише порівнює запитуваний новий пароль із поточним паролем користувача, використовуйте системи, які містять у чорному списку всі попередні паролі, використані для цього облікового запису. Заборона на будь-яке повторення дає вам більше шансів, що користувачі будуть змушені придумати абсолютно новий пароль, який вони більше ніде не використовували.
Процес унікальності пароля повинен не тільки перевірити, що запитуваний пароль відрізняється від усіх паролів, які використовувалися раніше, але й що він суттєво відрізняється . Не повинно бути повторного використання частин паролів. Це не дозволяє користувачам змінювати паролі лише на один або два символи. Користувачі продовжуватимуть використовувати скомпрометовані паролі для інших систем, навіть якщо їм буде повідомлено, що певний пароль було скомпрометовано. NIST рекомендує системним адміністраторам підписатися на список зламаних паролів і виконувати регулярні перевірки, щоб виявити нещодавно зламані паролі.
2. Перевірка для типових паролів
Ще одна стратегія подолання, яку використовують багато користувачів, щоб запам’ятати багато різних паролів, – це використання простих паролів, які легко запам’ятовуються . Це можуть бути:
- Культурно звичайні слова чи фрази
- Слова, пов'язані з хобі користувача
- Слова або коди, пов’язані з системою, у якій зберігається обліковий запис
- Слова, пов'язані з іменем користувача
Простий спосіб запобігти цій стратегії — перевірити паролі за словником. Якщо ви використовуєте багатонаціональну систему, словник, який ви використовуєте, повинен відповідати мові користувача.
Зрозуміло, що пароль не повинен повторювати ім’я користувача, а також не повинен містити ім’я користувача чи бути частиною імені користувача. Паролі, адаптовані до системи або особи користувача, особливо легко зламати, а паролі, які містять слово «Password», мають бути у верхній частині вашого чорного списку – MyPassword, APassw0rd, DavePassword, IBMPassword, Passw0rd! тощо. Найпростіший спосіб припинити використання звичайних слів у паролях за допомогою автоматизованого процесу — адаптувати рекомендацію NIST щодо використання скомпрометованого каналу паролів. Замість того, щоб застосовувати список паролів, які були зламані в іншому місці для конкретного користувача, проскануйте всі або частину всіх паролів, які були зламані будь-де. Застосуйте цей чорний список до кожного користувача, незалежно від того, чи був цим користувачем застосовано зламаний пароль. Це автоматично заблокує використання всіх загальних слів.
3. Скасуйте вимогу щодо спеціальних символів
Ця рекомендація NIST є несподіванкою для багатьох і викликає жах, оскільки примусове включення спеціальних символів є частиною стандартних процедур більшості сучасних стандартних тестерів надійності паролів. Причина цього нового правила полягає в тому, що просто змусити користувача вставити один спеціальний символ десь у паролі не забезпечує жодної безпеки. Хакери вивчили поведінку людей і знають усі стандартні трюки, якими користуються звичайні люди, щоб відповідати вимогам щодо спеціальних символів, водночас створюючи пароль, який можна зламати. Знак оклику (!), наприклад, створює особливо слабкі паролі, водночас обманюючи більшість тестувальників надійності паролів. Програмному забезпеченню для злому паролів зовсім неважко спробувати пароль, потім спробувати той самий пароль зі знаком оклику в кінці, а потім спробувати пароль із знаком оклику, заміненим кожним l, а потім кожним i. Це займає секунди. Ця ж рекомендація стосується і примусового включення чисел – хакери теж випереджають це. Нуль замість o і одиниця замість l полегшують злам паролів. Поєднання вимог щодо включення як числа, так і спеціального символу також марно – passw0rd! надзвичайно легко вгадати, хоча його підтверджує перевірка надійності пароля.
4. Дозволити всі символи, включаючи пробіли
Заборона на пробіли в паролях нелогічна. Фрази, що запам’ятовуються, набагато важче зламати, ніж слова, що запам’ятовуються, або навіть слова, що запам’ятовуються, зі спеціальними символами та цифрами. Основна проблема з фразами, які запам'ятовуються, полягає в тому, що їх також важче перевірити на надійність пароля. Однак використання рекомендованої стратегії сканування на збіг зі зламаними паролями має відфільтрувати добре відомі цитати, оскільки ширша спільнота системних адміністраторів приймає стратегію дозволених пробілів. Перегляд політики NIST випливає з визнання того, що поточні обмеження на створення пароля не призвели до різноманітності паролів. Натомість вони створили звичайні трюки, які зазвичай використовуються, тому що навіть якщо вони працюють незалежно, мозок кожного працює однаково. Отже, універсальні правила, які застосовуються до всіх, зрештою призводять до універсальних рішень. Більші обмеження призводять до меншого кола можливих рішень. Таким чином, посилення обмежень полегшує роботу хакерських інструментів для злому паролів.
5. Дозволити копіювання та вставлення паролів
Попередні рекомендації NIST не рекомендували вставляти значення в поля пароля. Однак, оскільки нова стратегія NIST спрямована на заохочення різноманітності , перешкоджаючи користувачам вдаватися до звичайних хитрощів із паролями , це важливе обмеження, яке потрібно видалити. Одним із неприємних наслідків дозволу на вставлення є те, що користувачі зберігатимуть файл із системними обліковими даними. Однак, відмовляючи їх від цього, вони також перешкоджають використанню паролів, які неможливо запам’ятати .Хоча звичайні текстові файли зі списками облікових даних можуть становити загрозу безпеці, у певному сенсі вони є формою двофакторної автентифікації, оскільки принаймні користувач повинен мати фізичний доступ до пристрою, на якому зберігається файл. Більшість професійних хакерських груп діють по всьому світу та працюють з автоматизованими системами злому паролів. Вони не намагаються вкрасти ноутбуки кожного користувача Yahoo Mail. Системи з дуже високим рівнем безпеки, такі як національні оборонні агентства, повинні продовжувати вживати заходів, щоб запобігти збереженню користувачами власних файлів паролів. Однак це правило можна забезпечити іншими методами , такими як погроза звільнення або кримінальне звинувачення. Для більшості систем файл паролів користувача не є серйозним порушенням безпеки.
6. Скасуйте примусову ротацію паролів
Часті вимоги скинути пароль спонукають користувачів повторно використовувати паролі, дещо змінювати той самий пароль, додаючи або переміщуючи цифри та спеціальні символи, і використовувати паролі, які вони також використовують в інших системах. Коротше кажучи, часта примусова зміна пароля є причиною поганих практик і хитрощів, які потрібно блокувати, як пояснено в пунктах 1, 2, 3 і 4 вище.
7. Подовжте поля пароля
Стандартний пароль із восьми символів базується на очікуванні, що користувачі повинні створити справжнє слово. Однак, як пояснювалося вище, парольні фрази набагато кращі для безпеки, тому подовження поля облікових даних принаймні до 72 символів разом із дозволом на використання пробілів спонукатиме користувачів створювати фрази, а не слова.
8. Дозвольте користувачеві бачити пароль, обмежте спроби та не використовуйте підказки
Найбільшу загрозу безпеці системи створюють міжнародні хакери , а не особи, які знаходяться поблизу. Жокей може поглянути і побачити пароль, який користувач вводить на мобільний пристрій у громадському місці. Однак, якщо хтось знаходиться настільки близько, що можна прочитати маленький дисплей на екрані, ця особа також буде достатньо близько, щоб побачити, які літери користувач натискає на екранній клавіатурі, тому приховати пароль не так вже й багата перевага. Хоча автоматичний злом паролів є більшою загрозою, ніж окремі атаки, деякі користувачі стають цілями, тому підказки паролів пришвидшують вгадування пароля для зловмисників, які «доксують» певну особу. Правило трьох попереджень працює дуже добре як захист від методів вгадування пароля, які використовують заміну спеціальних символів і чисел.
9. Використовуйте 2FA – SMS нормально
Двофакторна автентифікація є основною рекомендацією останніх стандартів NIST. Однією з проблем цієї сфери автентифікації є страшні історії, в яких виявлено слабкі місця безпеки під час використання мобільних пристроїв як фізичного елемента, який можна використовувати для автентифікації. Хоча системи автентифікації на основі SMS є помилковими, галузь знайшла спосіб посилити фізичну ідентифікацію мобільних пристроїв, які використовуються для 2FA. Тобто SMS або push-повідомлення потребують не лише номеру телефону, а й ідентифікації пристрою . Ця вимога подолала проблеми спуфінгу та клонування, які підірвали цінність мобільних пристроїв для використання 2FA.
Впровадження рекомендацій NIST
Найпростіший спосіб переконатися, що ви інтегрували всі найкращі методи захисту паролів, це реалізувати рекомендації NIST. Останні рекомендації NIST називаються SP 800-63b . Цей список рекомендацій був вперше опублікований у 2017 році і з тих пір кілька разів оновлювався. Отже, вам потрібно шукати системи керування ідентифікацією та доступом, які відповідають NIST SP 800-63b Revision 3, також записаному як SP800-63B-3 – на жаль, тире, пробіли та великі літери можна змінювати від публікації до публікації.
Використання систем керування паролями
На щастя, є деякі доступні системи керування паролями , які знають про останні рекомендації NIST та інтегрували їх.
-N-Able Passportal - Ця служба паролів обговорює все про NIST SP800-63B Revision 3 у дописі в блозі та заявляє, що її служби інтегрують ці вимоги. Ви можете зареєструватися та домовитися про демонстрацію.
-ManageEngine ADSelfService Plus - Ця система керування паролями для Active Directory була повністю сумісна з SP800-63B Revision 3 завдяки модернізації її служб 2FA .
-Політика паролів Specops - Ця система керування паролями містить усі рекомендації SP800-63B версії 3. Вона інтегрується в Active Directory, тому вам не потрібно повністю викидати та перебудовувати поточну систему керування правами доступу, щоб оновити її до нових стандартів.
-Пароль RBL – це служба створення чорного списку паролів, яка інтегрується з Active Directory. Це реалізує основну рекомендацію в публікації NIST SP800-63B щодо блокування повторного використання зламаного пароля.
-SaaSPass - Це хмарна система 2FA, яка інтегрується з довгим списком програм. Він повністю відповідає рекомендаціям NIST SP800-63B.
-Okta пропонує ряд рішень IAM зі своєї хмарної платформи, і всі вони сумісні з NIST SP800-63B Revision 3.
Підвищити або прикрутити
Ймовірно, у вас уже є добре налагоджена система керування паролями, якою ви задоволені. Оскільки ваш постачальник IAM активно займається питаннями захисту паролів, дуже ймовірно, що він уже впровадив SP800-63B. Проте перевірити не завадить.
Можливо, сумісні з NIST функції захисту паролів пропонуються лише у вашого поточного постачальника після оновлення. Якщо ні, можливо, варто розглянути можливість додавання спеціальної системи керування паролями або покращення сумісності з NIST шляхом впровадження 2FA або чорного списку паролів , наданого постачальником, відмінним від вашого основного постачальника системи IAM.
Перш за все, як корпоративному системному адміністратору важливо бути в курсі поточних проблем безпеки паролів. Завжди є нові технології, які працюють як для хакерів, так і для компаній. Кібербезпека – це прагнення до мети, що постійно рухається.