Microsoft поміняв своє керівництво з політик терміну дії паролів. У травні 2019 року вони розмістили пост у своєму блозі з поясненнями цього рішення.
Експерти в сфері кібербезпеки знають, що середньостатистична людина має пароль, який зручно вводити, і тому його легко підібрати комп’ютеру. При цьому необхідність його зміни раз в кілька місяців не змінює того факту, що такі паролі легко підібрати. Потужність сучасних комп’ютерів дозволяє підібрати шляхом перебору пароль довжиною в 8 цифробуквених символів за кілька годин. Зміна одного або двох символів з цих восьми зробить завдання складніше.
З моменту виходу рекомендацій Microsoft пройшло вже досить багато часу і саме час зробити висновки, чи варто зовсім позбутися від терміну дії паролів? Насправді не все так просто.
Політика терміну дії паролів є всього лише однією з цеглинок у стіні кібербезпеки. Не варто діставати одну з цеглин стіни, якщо у вас немає інших методів захисту для компенсації такої дії. Тому краще все ж сконцентрувати увагу на найбільших факторах ризику в організації та опрацювати стратегію кібербезпеки таким чином, щоб скоротити саме їх.
Навіщо позбавлятися від політик терміну дії паролів?
Аргументація Microsoft з цього питання полягає в тому, що політики терміну дії паролів несуть малу цінність з точки зору інформаційної безпеки. В результаті вони більше не рекомендують їх застосування і виключили цей елемент зі структури фундаментального рівня кібербезпеки від Microsoft.
Але Microsoft не вимагає відключити всі ваші політики паролів миттєво. Вони лише інформують, що вашій стратегії ІБ потрібно щось більше, ніж просто закінчення строку дії паролів.
Чи варто видаляти політику паролів?
Більшості організацій слід залишити політику терміну дії паролів без змін. Подумайте над наступним простим питанням: що буде, якщо у користувача вкрадуть пароль?
Політики паролів допомагають знизити напір атакуючого, заблокувавши його життєво важливий канал доступу всередину мережі. Чим коротше термін дії пароля, тим менше залишається часу на компрометацію системи і виведення даних (якщо тільки атакуючий не скористався іншою точкою входу). Microsoft вважає, що все ті ж політики, націлені спочатку на виключення скомпрометованих паролів з ротації, за фактом тільки заохочують погану практику – наприклад, повторне використання та слабку ітерацію (vesna2019, leto2019, zima2019) паролів, шпаргалки на моніторах і т.д.
Словом, в Microsoft вірять, що ризик від поганих практик використання паролів насправді вище, ніж вигода від впровадження політик з терміну дії.
Дана зміна сильно підвищує зручність роботи користувачам і його легко впровадити, але в підсумку є ймовірність тільки збільшити загальні ризики, якщо ви не дотримуєтесь інших кращих практик в індустрії, таких як:
- cекретні фрази: форсування довгих (16 і більше символів) і комплексних паролів підвищує складність їх злому. Старий стандарт в мінімум 8 символів зламується за кілька годин на сучасних ПК.
- модель мінімально необхідного доступу: в світі, де постійність ніколи не порушується, критично знати, що користувач має доступ лише до мінімально необхідного обсягу даних.
- відстеження поведінки: вам необхідно вміти детектувати компрометацію аккаунта на основі відхилень від нормального входу в систему і нестандартного використання даних. Один лише аналіз статистики в даному випадку не допоможе.
- багатофакторна аутентифікація: навіть якщо атакуючий знає ім’я користувача та пароль, багатофакторна аутентифікація є серйозною перешкодою для середньостатистичного зловмисника.
Паролі нарешті відмирають?
Є кілька технологій, що прагнуть замінити паролі як протоколу аутентифікації де факто. FIDO2 зберігає ідентифікаційні дані на фізичному пристрої. Біометрія, незважаючи на сумніви щодо “унікальності, але відсутності конфіденційності», також є потенційним варіантом.
Нова парадигма залежить від пошуку методів аутентифікації, які не можна випадково передати або легко вкрасти. Але поки що такі технології не пробилися з корпоративного
сектора в мейнстрім.
Джерело: habr.com