Почему пароли обычно неэффективны и как с этим бороться?

2 Сентября, 2015 06:52
Алексей Дрозд
Сотрудники вашей компании, да и вы сами пользуетесь паролями буквально каждый день. Тем не менее, эффективность этого средства защиты, вечно популярного и более чем активно используемого, сегодня под большим вопросом. Мы попробуем разобраться, почему это так, и как сделать пароль союзником, а не врагом отдела информационной безопасности.

Думаю, не открою Америку, если скажу, что основная проблема, связанная с парольной защитой, заключается в том, что такая защита используется практически повсеместно, и очень немногие организации применяют какие-либо альтернативные решения, такие, например, как аутентификация с помощью SMS или биометрическая аутентификация. Причина этого, отчасти, в дороговизне альтернатив классической парольной защиты, отчасти – в том, что она уже присутствует везде в виде решения по умолчанию, которое даже как-то не с руки на что-то менять.

Рано или поздно любая организация - маленькая ли, большая ли, приходит к логичному выводу о том, что ей необходимо контролировать использование паролей собственными сотрудниками, потому что в противном случае достичь желаемого уровня безопасности не получится. Однако без системного подхода попытка управлять паролями сотрудников, как правило, ни к чему хорошему не приводит. Почему?

Мозг человека устроен таким образом, что хорошие, криптографически стойкие пароли, которые с трудом «ломаются» путем простого перебора по словарю или даже с помощью баз утекших ранее паролей, запомнить очень сложно. Как бы вы ни старались, но комбинации вроде 3C^xxfr@Ds53aZ5D вряд ли найдут свое место между датой рождения любимой тещи и временем выхода не менее любимой телепередачи. К сожалению, методы борьбы с этим мелким несовершенством человеческого разума, используемые отделами ИБ, обычно не выдерживают совершенно никакой критики.

Наиболее часто руководство компании просто издает приказ о том, что все используемые в рабочих целях пароли должны быть не меньше определенной длины, содержать в себе латинские символы в разных регистрах и цифры. В зависимости от фантазии руководства, длина может быть от 6-7 до нескольких десятков символов, а к цифрам и буквам могут добавляться другие символы.

Нередко пароли начинают генерировать централизованно, с помощью небольшой программы-скрипта, написанной отделом ИБ или системным администратором. Тем не менее, как показывает практика, подобные меры, к сожалению, не приносят ожидаемых результатов. Причина этого кроется в свойствах человеческой памяти – большинству людей сегодня сложно запомнить даже четырехзначный пин-код от собственной банковской пластиковой карточки, что уж говорить о куда более длинном и сложном пароле.

Результат, что называется, вполне предсказуем – пароли забываются, записываются на бумажках (любимое развлечение офисных работников – обклеивать такими бумажками монитор), и т.п.

Обычной реакцией службы информационной безопасности и руководства организации является «закручивание гаек», то есть, применение штрафов и выговоров по отношению к тем сотрудникам, которые записали так пароль и оставили его на рабочем месте. Нужно ли говорить, что ни к чему хорошему это не приведет, и конфронтация безопасников с остальными сотрудниками просто выйдет на новый виток?

Проблема ситуации, которая описана выше, и которая, к сожалению, встречается повсеместно, заключается в том, что парольная политика в организации рассматривалась ее руководством и внедрялась в отрыве от комплексной политики информационной безопасности, которая должна стать основой всех действий отдела ИБ в компании.

К сожалению, многие компании рассматривают разработку политики собственной информационной безопасности как этап совсем необязательный, и даже в чем-то лишний, не несущий конкретных результатов, в отличие, например, от той же парольной политики или внедрения DLP-системы. К сожалению, подобный подход способствует «лоскутизации» системы информационной безопасности организации, которая не имеет общей для всех своих компонентов цели, прописанной в политике ИБ.

В случае, когда политика парольной защиты является составной частью комплексной политики информационной безопасности компании, различные «перекосы» гораздо менее вероятны, чем в том случае, когда она является самостоятельным, «взятым с потолка» документом. Поэтому заниматься проблемой паролей нужно комплексно, без отрыва от других вопросов обеспечения ИБ.

Но что же делать со стикерами? Увы, все имеющиеся сегодня методы – это лишь вариации на тему «как бы лучше запомнить то, что хотелось бы забыть». Заставлять всех заучивать регулярно меняющиеся пароли – не очень хорошее решение, полагаться на пароли вроде 123 – глупо и опасно.

Есть разные выходы из ситуации, более дорогие и более дешевые, при этом неодинаково, конечно же, эффективные. Дешевый вариант – это использование менеджеров для запоминания паролей, которые позволят использовать достаточно мощные и стойкие пароли, не опасаясь при этом, что пользователь будет записывать их на своем рабочем месте. Главный минус состоит в том, что для доступа к менеджеру тоже нужен пароль…

Более грамотный вариант – переход от паролей к другим способам аутентификации. Необязательно они должны быть такими сложными и дорогими, как, к примеру, биометрическая аутентификация. В большинстве случаев 90% потребностей компании покрывают так называемые смарт-карты либо же специальные криптографические сертификаты, которые носят на USB-токенах размером с обычную «флэшку». Пользователь может закрепить такой токен на брелоке с ключами и тогда вероятность того, что он его где-то забудет или потеряет, будет минимальной.

Лучшее, что вы можете сделать с паролями – от них отказаться. Это может прозвучать парадоксально, но это действительно так. Парольная защита морально устарела, она уже не соответствует требованиям времени, и везде, где требуется действительно серьезная защита, внедряются системы многофакторной аутентификации. Даже аутентификация с помощью SMS-ок, какой бы примитивной она ни была, в разы лучше парольной аутентификации. Но к сожалению, везде, начиная с самой Windows и заканчивая такими корпоративными системами, как, к примеру, CRM, применяется именно парольная защита. Поэтому полный отказ от использования паролей для подавляющего большинства организаций сегодня представляется чем-то скорее из области фантастики, нежели действительно достижимой целью.

Реальная альтернатива – использование парольных фраз. Не «секретных» вопросов, ответы на которые находятся буквально за пару минут через поисковики и социальные сети, а именно специальные фразы, которые заменяют пароли. Любым вашим сотрудникам будет проще запомнить фразу из любимой песни или цитаты, чем абстрактный набор символов «xYaQxrz!» (данное сочетание, кстати говоря, является достаточно сложным и длинным, чтобы соответствовать обычным требованиям сложности пароля, и недостаточно надежным, чтобы выдержать серьезные профессиональные атаки).

Будущее, конечно, за такими методами, как чипы, уже используемые в смартфонах, и биометрия. Впрочем, все эти методы по-прежнему будут слишком дорогими для повседневного использования. Поэтому, видимо, проблема сложности паролей и их удобства для пользователей всегда будет стоять перед отделами информационной безопасности.

Комментарии:

ДРУГИЕ БЛОГИ

Широкий взгляд основателя Fortinet на средства защиты
Майкл Се 21 Сентября 20:10
Спутниковые гонки: дотянется ли O3B до Украины
21 Сентября 10:31
Пользователи — наиболее слабое звено в безопасности iOS
Владимир Безмалый 5 Сентября 10:40
Avaya сообщила о смене главы
8 Августа 10:27

СТАТЬИ ПО ТЕМЕ