Всем менять пароли!

В 2005 году специалист по информационной безопасности Microsoft Марк Бёрнетт [1] выпустил книгу «Совершенные пароли», в которой предложил каждому пользователю выбрать один день в году, чтобы менять свои пароли. Это необходимо для того, чтобы пользователи не применяли одни и те же пароли слишком долго. В 2013 году компания Intel Security (бывшая McAfee) подхватила идею Бёрнетта и предложила зарегистрировать первый четверг мая как этот самый “День паролей”, когда все пользователи будут менять свои пароли [2]. В рамках программы усиления защиты она в 2015 году создала сайт PasswordDay.org [3], на котором были расположены материалы по управлению паролями. В этом году празднование дня паролей пришлось на 7 мая, а сайт PasswordDay.org уже ведет на рекламную страничку Intel, где о Intel Security и паролях нет ничего.

Однако инициативу перехватили другие компании, занимающиеся информационной безопасностью. Так 7 мая Avast опубликовала [4] результаты своих  исследований, согласно которым 55% российских пользователей используют одинаковые пароли для разных сервисов, хотя 94% знают, что это опасно. “Недавно были новости о том, что 500 000 учетных данных Zoom попали в даркнет, – рассказывает Алексей Федоров, глава представительства Avast в России и СНГ.  – Эти данные не были новыми и уникальными для учетных записей Zoom. Злоумышленники получили их, проверяя ранее собранные учетные записи и пароли пользователей от других сервисов. Люди часто используют одни и те же пароли для разных сервисов. Многим лень придумывать разные пароли, кто-то забывает это сделать.”

Представители компании считают, что в скором времени можно будет хотя бы частично отказаться от паролей, используя другие методы аутентификации. В частности, компания считает, что опасность перехвата пароля можно снизить за счет использования системы единой аутентификации SSO или федеративных сервисов аутентификации. SSO используются в корпоративной среде, где можно установить специальный сервис строгой аутентификации, который гарантирует надежность процедуры для всех остальных приложений или сервисов. Аналогичная схема доверенного сервиса используется и для открытого Интернет, но только в качестве гаранта выступают, например, социальные сети, такие как Google, Apple, Microsoft, Facebook, Twitter и другие. Причем некоторые из этих социальных сетей используют для аутентификации уже не пароли, но такие технологии как отпечаток устройства, то есть информацию о производителе гаджета, внутренних идентификаторах, местоположении и IP-адресе. Другим методом надежной аутентификации являются биометрические технологии – отпечаток пальца, распознавание лиц, голоса, рисунка вен и другие. Сейчас производители устройств поддерживают как технологии  отпечатков, так и биометрической аутентификации для проведения более надежной чем пароли процедуры проверки личности пользователей.

Впрочем, сейчас появляются технологии динамической аутентификации, которые оценивают риск той или иной операции. В этом случае для разных операций могут использоваться различные методы аутентификации. Сейчас такие технологии в основном применяются в банковской сфере. Так при оплате по карте меньше 1 тыс. руб. банки не требуют введения PIN-кода, до 10 тыс. руб. – вводить код нужно, но предъявлять паспорт – не обязательно. Для более масштабных транзакций могут потребоваться и более сложные методы аутентификации. В некоторых сервисах появляются методы выявления подозрительных операций с помощью искусственного интеллекта, и в случае аномалий – требовать предъявления дополнительных доказательств своей личности.

«Пока мы все еще живем в мире, где применяются пароли и где нет надежных альтернативных способов защиты, поэтому каждый из нас должен тщательно защищать свои данные и каждое свое устройство –– продолжает Алексей Федоров. –– Сегодня Всемирный день паролей, пусть это будет еще одним напоминанием оценить пароли, которые вы сейчас используете, и убедиться, что они защищают вас».

Компания ESET в “День пароля” напоминает пять наиболее популярных ошибок в управлении секретной информацией. Специалисты компании напоминают, что не стоит использовать простые пароли, но нужно создавать легкозапоминаемые. Для этого можно использовать парольные фразы из нескольких компонент. При этом не стоит использовать легко угадываемые компоненты – имена, даты или названия сервисов. Так по данным компании 6 из 10 взрослых пользователей использовали в своих паролях имя близкого человека или день рождения. Вторая ошибка – повторное использование секретов.  По данным опроса Google [6], 52% респондентов повторно используют один и тот же пароль для нескольких учетных записей, а 13% — для всех своих аккаунтов. Третья ошибка – запись сложного пароля в виде открытого текста в “секретном” месте – на компьютере, смартфоне или на стикере рядом с рабочим местом. Запись на устройстве может оказаться легко доступной для поиска по ключевому слову “пароль” при инфицировании устройства программами-шпионами. Поэтому специалисты компании рекомендуют записывать не сами пароли, но подсказки для их легкого запоминания.

Четвертой ошибкой является использование совместного пароля. Это обычно практикуется для каких-нибудь ролевых аккаунтов, например, рабочие места операторов или  администраторы устройств. К сожалению, эти ролевые пользователи обычно имеют дополнительные полномочия, поэтому их пароли разделять опасно. Тем не менее по данным Google 43% пользователей признались, что делятся паролями с другими. Понятно, что при совместном использовании сложно разделить ответственность между пользователями и адекватно расследовать конфликтные ситуации. Пятой ошибкой являются простые правила смены пароля.  Как правило, парольная фраза выбирается из компонент, которые достаточно легко предсказать, поэтому при смене одного пароля на другой хакер может предсказать как именно пароль измениться и сможет его быстро подобрать. Поэтому в парольных фразах при их изменении не стоит использовать даты, месяцы,  года, порядковые номера или названия сервисов. Нужно, чтобы компоненты парольной фразы были легко запоминаемыми, хорошо модифицируемы при смене, но плохо предсказуемы для посторонних. К сожалению, общих правил обнародовать будет сложно – каждый должен придумать эти правила самостоятельно.

В целом можно сказать, что пароли еще долго будут использоваться, поскольку это самый простой способ аутентификации, не требующий сложных проверок, как при биометрии. Поэтому каждому пользователю особенно привилегированных учетных записей стоит разработать собственные правила формирования паролей, привязанных к личным данным с использованием сложной системы модификации. При этом стоит не забывать их регулярно обновлять – именно для этого и был придуман этот день паролей. Так отпразднуем же его сменой всех ключевых секретов – мы рекомендуем всем менять пароли!

 

[1] https://mvp.microsoft.com/en-us/PublicProfile/38600?fullName=Mark%20Burnett

[2] https://www.daysoftheyear.com/days/password-day/

[3] https://passwordday.org/

[4] https://rg.ru/2020/05/07/bolee-poloviny-rossiian-ispolzuiut-odinakovye-paroli-v-seti.html

[5] https://www.unian.net/science/kak-pravilno-sozdat-parol-5-rasprostranennyh-oshibok-novosti-10988840.html

[6] https://storage.googleapis.com/gweb-uniblog-publish-prod/documents/PasswordCheckup-HarrisPoll-InfographicFINAL.pdf

Поделиться:
Спецпроект

Форум «ИТОПК-2020» оценил потенциал господдержки

Подробнее
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее

Подпишитесь
на нашу рассылку