Почему обязательное истечение срока действия пароля не имеет смысла — CloudSavvy IT

пароли на бумагеВиталий Водолазский / Shutterstock.com

Обязательная смена паролей на регулярной основе — это обычная практика во многих организациях. Эта старая практика поддерживается сторонниками как хорошая базовая мера безопасности для снижения рисков потери пароля. Но актуален ли он спустя десятилетия после своего первого появления?

Что решает истечение срока действия пароля?

Во-первых, важно понять, почему принудительное истечение срока действия пароля стало популярным. Большинство организаций требуют смены пароля каждые 30 или 90 дней. Этот датируется историческим прошлым более простых хэшей паролей, которые можно было бы взломать относительно быстро. Когда злоумышленник мог взломать пароль за пару месяцев, специалисты по безопасности предположили, что изменения в течение этого периода времени помогут обезопасить пользователей.

Сегодняшняя модель угроз выглядит несколько иначе. Пароли, зашифрованные с помощью современных механизмов хеширования может занять миллиарды лет, чтобы успешно взломать.

В настоящее время преступники собирают пароли таким образом, чтобы они ориентировались на вас, пользователя, а не на службу, которая их хранит. Наибольшие риски представляют фишинговые атаки и атаки социальной инженерии, а также скоординированные словарные атаки с использованием списков известных паролей. Эти списки получены из предыдущих утечек данных.

Изменения в ландшафте угроз означают, что истечение срока действия паролей больше не решает проблему, для которой они были предназначены. Компромиссы случаются за секунды. К тому времени, когда вы измените свой пароль, злоумышленники, вероятно, уже давно исчезнут.

Проблемы с истечением срока действия пароля

Принудительная смена пароля — обычное разочарование среди пользователей. Они могут быть склонны выбирать последовательность коротких паролей, которые легко запомнить. Некоторые пользователи записывают каждый пароль, потенциально подвергая его опасности — будь то в текстовом файле или в виде заметки на рабочем столе.

Исследования в Университете Северной Каролины нашел злоумышленника с доступом к предыдущий пароли могут определить пользователя Текущий пароль менее чем за 3 секунды в 41% случаев. Это убедительно свидетельствует о том, что многие пользователи вносят в свои пароли лишь тривиальные изменения в установленный интервал.

Истечение срока действия пароля предназначено для ограничения времени доступа злоумышленника к взломанной системе. В сегодняшней изменившейся ситуации злоумышленник может уже иметь постоянный доступ к тому моменту, когда украдет список паролей. Установка регистратора ключей или другого подобного вредоносного ПО немедленно лишает вас всех преимуществ, связанных с истечением срока действия пароля.

Наконец, настоящие пен-тестеры заявили, что они не обременены политикой истечения срока действия пароля. Политики часто защищают от угроз, на которые они не могут надеяться. В наши дни регулярную смену пароля следует рассматривать как попытку побудить пользователей поддерживать безопасность. На практике это тоже плохо подходит, так как представляет собой неудобство, которого пользователи постараются избежать.

Прилив противников смены пароля

Сочетание этих факторов привело к тому, что в последние годы несколько известных организаций выступили против политики смены паролей. Из Великобритании Национальный центр кибербезопасности (NCSC) к Microsoft официальный базовый уровень безопасности Windows, когда-то повсеместная практика быстро перестала пользоваться популярностью.

В своем сообщении в блоге в 2016 году NCSC объяснил, что истечение срока действия представляет собой «стоимость удобства использования» для пользователей, которая перевешивает и без того сомнительные преимущества безопасности:

Это один из тех нелогичных сценариев безопасности; чем чаще пользователи вынуждены менять пароли, тем выше общая уязвимость для атак. То, что казалось совершенно разумным, давно устоявшимся советом, оказывается, не выдерживает строгого анализа всей системы.

Влияние усталости паролей с большей вероятностью ослабит общее состояние безопасности организации, поскольку пользователи будут выбирать менее безопасные пароли и терять защиту от текущих угроз. Злоумышленники не будут обеспокоены политикой истечения срока действия пароля — информация будет украдена мгновенно, обычно задолго до того, как запланированная смена пароля может смягчить последствия.

Что использовать вместо?

У системных администраторов по-прежнему есть несколько инструментов для защиты своих организаций. Из доступных вариантов образование может быть одним из самых сильных долгосрочных подходов. Объясните пользователям риски, связанные с паролями с низким уровнем безопасности, чтобы побудить их сделать более безопасный выбор.

Вам также следует принять подход с многофакторной аутентификацией. Добавление приложения аутентификации к уравнению предотвращает использование злоумышленниками паролей, даже если они успешно их украдут. Это было невозможно в те времена, когда только начали применяться политики истечения срока действия паролей.

Если вы по-прежнему настаиваете на регулярной смене паролей или если в вашей отрасли есть законодательство, которое этого требует, найдите способы помочь своим пользователям. Предоставление утвержденного программного обеспечения для управления паролями позволит пользователям создавать и хранить безопасные пароли, не прибегая к простым фразам, нацарапанным на бумаге для заметок.

Отказ от истечения срока действия пароля не означает отказ от всех механизмов контроля паролей. Вы по-прежнему можете установить минимальную длину и сложность, чтобы направлять пользователей к правильному выбору. Кроме того, вы должны сохранить возможность аннулировать пароли, чтобы вы могли быстро заблокировать свои системы в случае взлома.

Заключение: пора перестать просрочивать пароли

Когда-то срок действия пароля был достаточно эффективным для предотвращения кибератак вчерашней сети. Теперь у них больше проблем, чем они того стоят. Продолжение принудительной регулярной смены паролей расстроит пользователей, вызовет больше запросов в службу поддержки ИТ и окажет незначительное — или отрицательное — влияние на вашу безопасность.

Политика истечения срока была полезна, когда Интернет был меньше и медленнее. Интернет и его угрозы сильно изменились за последние пару десятилетий. Сейчас пользователи чаще сообщают злоумышленнику свой пароль в фишинговом письме или при мошенническом звонке, чем пароль, который на самом деле «украден» злоумышленником.

Для систем, где постоянный доступ представляет собой риск, получение пароля привилегированного пользователя один раз обычно дает злоумышленнику возможность установить бэкдор или создать свою собственную учетную запись пользователя. С таким количеством факторов, препятствующих истечению срока действия пароля в качестве меры безопасности, сейчас более важно сосредоточиться на базовой гигиене паролей и более широкой картине киберзащиты.

Отказ от политики истечения срока действия пароля должен понравиться пользователям и способствовать вашей безопасности. Сравните преимущества безопасности ваших паролей с затратами на удобство использования, заставляющими пользователей повторно узнавать свои учетные данные каждые несколько месяцев. Многие нормативные документы, такие как PCI-DSS и HIPAA, по-прежнему требуют регулярной смены паролей, но в нерегулируемых отраслях вам следует дважды подумать, прежде чем использовать обязательные истечения срока действия.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *