Плюсы и минусы политики смены паролей
Почему политика ротации паролей теряет свою актуальность в цифровую эпоху
Принудительный сброс пароля уже давно и широко используется в политиках безопасности паролей. Однако Microsoft и руководство по паролям NIST рекомендуют отказаться от политики смены паролей, утверждая, что она не улучшает безопасность, а может даже ухудшить ее.
Несмотря на рекомендации отказаться от принудительной смены паролей, многие компании продолжают придерживаться такого подхода, а некоторые системы кибербезопасности по-прежнему требуют их применения.
Причин такого нежелания несколько, но большинство из них кроется в предполагаемых преимуществах политики смены паролей по сравнению с предполагаемыми рисками отказа от нее.
Именно поэтому мы хотим пролить свет на плюсы и минусы принудительного сброса паролей и их жизнеспособность в цифровую эпоху.
Плюсы политики истечения срока действия пароля
Ограничение доступа для бывших сотрудников
Сотрудники в компании не статичны, а постоянно меняются. Некоторые сотрудники покидают компанию и на их место приходят новые. Принудительная смена паролей может гарантировать, что бывшие сотрудники больше не смогут получить доступ к информационным ресурсам компании. Это особенно актуально для команд, где одна учетная запись может быть общей для нескольких сотрудников.
Конечно, совместное использование паролей не рекомендуется, но, к сожалению, это распространенная практика.
Согласно отчету Yubico «Состояние поведения в области безопасности паролей и аутентификации в 2019 году», 69% респондентов делятся паролями с коллегами для доступа к учетным записям. Учетные данные часто передаются другим членам команды, чтобы избежать проблем, возникающих, когда кто-то заболел или ушел в отпуск. Однако более безопасным решением было бы создание для каждого сотрудника собственной учетной записи в системе или использование инструмента PAM (Privileged Access Management) для генерируемых системой паролей, которые автоматически сменяются и регистрируются.
Сокращение «окна возможностей» для киберпреступников
Злоумышленники могут получить доступ к паролям, используя различные методы. Они могут использовать атаки методом перебора, атаки по словарю, атаки по радужной таблице, социальную инженерию, фишинг, вредоносное ПО, шпионаж и многое другое. Используя принудительное истечение срока действия пароля, вы уменьшаете временное окно, в котором злоумышленник может использовать ваш пароль до его сброса. Но поскольку злоумышленники могут нанести значительный ущерб за короткий промежуток времени, не существует оптимального ограничения срока действия пароля, которое было бы гарантированно эффективным. Блог SANS резюмирует это следующим образом: «Когда злоумышленник получает ваш пароль, он не собирается ждать требуемых «90 дней», а использует его в течение нескольких часов. Поэтому к тому времени, как вы соберетесь сменить пароль, плохие парни уже будут далеко».
Минимизация последствий успешного взлома
ИТ-администраторы обычно очень компетентны, когда речь идет о защите и охране теневых файлов паролей (Linux) и SAM-файлов (Windows), в которых хранятся учетные данные пользователей. Однако резервное копирование — обычная и необходимая черта современного бизнеса, и безопасность файлов резервных копий часто может быть не такой серьезной, особенно для старых резервных копий.
Если один из таких старых файлов резервных копий будет взломан, злоумышленник получит доступ к именам и паролям пользователей в том виде, в котором они были на момент создания резервной копии. Эти учетные данные часто шифруются или хэшируются, но с быстрым ростом вычислительной мощности взломать эти алгоритмы стало намного проще и быстрее. При принудительной смене паролей ни один из них не будет одинаковым (теоретически), поэтому злоумышленник получит доступ только к именам пользователей, что значительно снизит последствия взлома.
Минусы политики истечения срока действия паролей
Поощряет плохую гигиену паролей
В идеальном мире все пользователи выбирали бы уникальный и сложный пароль каждый раз, когда им предлагается создать новый пароль. Однако это не тот мир, в котором мы живем. Мы живем в цифровую эпоху, когда нам приходится запоминать множество комбинаций имен пользователей и паролей, чтобы просто выполнять свою работу или пользоваться преимуществами современного мира в личной жизни. В 2015 году средний пользователь имел 90 учетных записей в Интернете. Это число было еще больше в США, где на один адрес электронной почты приходилось в среднем 130 учетных записей.
Мы можем только предположить, что количество онлайновых аккаунтов, которые мы держим, еще больше между личными и рабочими аккаунтами. Недавно компания Google обнаружила, что 65% людей повторно используют пароли для некоторых, если не всех, своих учетных записей. Когда пользователям приходится запоминать так много паролей, а также помнить новый пароль каждые 30, 60 или 90 дней, они с большей вероятностью выберут слабый пароль или незначительную вариацию предыдущего пароля. Пользователи также испытывают разочарование и дискомфорт от процесса сброса паролей и регулярного запоминания новых.
По мнению FTC, «существует множество доказательств того, что пользователи, обязанные менять свои пароли, часто выбирают слабые пароли, а затем меняют их предсказуемым образом, который злоумышленники могут легко угадать. Если нет оснований полагать, что пароль был скомпрометирован или передан, требование регулярной смены паролей в некоторых случаях может принести больше вреда, чем пользы».
Политики истечения срока действия паролей обходятся предприятиям дорого
Принудительная политика истечения срока действия пароля больше не рекомендуется лидерами в области передовой практики кибербезопасности. Однако, несмотря на это, 77% ИТ-отделов по-прежнему ежеквартально продлевают срок действия паролей для всех сотрудников. Подсчитано, что один сброс пароля обходится в 70 долларов на оплату труда ИТ-службы поддержки. Если учесть, что от 20% до 50% всех обращений в службу поддержки связаны со сбросом паролей, легко понять, какие значительные расходы несут компании.
Больше не соответствует назначению
Как мы уже говорили ранее, преимущество политики ротации паролей заключается в том, что она ограничивает временные рамки, в течение которых злоумышленник может действовать, получив учетные данные для входа в систему. Это было верно в прошлом, однако в настоящее время эта тактика становится все менее полезной, поскольку злоумышленники используют для атак свежие данные, полученные в результате других взломов.
Более современный подход включает в себя программное обеспечение для мониторинга паролей и проверки учетных данных, которое может постоянно обнаруживать скомпрометированные пароли. Эти инструменты значительно снижают вероятность успешного взлома, причем гораздо больше, чем простое ожидание истечения срока действия пароля.
Почему некоторые организации переосмысливают принудительный сброс пароля
Целью хорошо отлаженной политики кибербезопасности должна быть защита ваших систем путем затруднения взлома для злоумышленников при сохранении беспрепятственного доступа для сотрудников. В настоящее время начинающим злоумышленникам во всем мире как никогда легко получить доступ к мощным компьютерам, передовым инструментам и сложным методам. Это значительно усложнило защиту наших систем по сравнению с тем, что было десять лет назад.
Столкнувшись с риском утечки данных, компании обычно пытаются внедрить как можно больше политик кибербезопасности, по сути, применяя подход «охватить все базы». Однако мы должны постоянно анализировать наши политики и понимать, когда они уже не соответствуют своему назначению.
С принудительным сбросом паролей пришло время для пересмотра. Политики смены паролей обременяют персонал и ИТ-отделы, не обеспечивая существенной пользы для безопасности. Теперь у нас есть более совершенные инструменты, такие как службы проверки паролей, которые значительно повышают безопасность, не создавая при этом дополнительных трудностей.