Правила парольной защиты
Пользователи должны следовать установленным в Компании процедурам поддержания режима безопасности при выборе и использовании паролей.
Пароли являются основным средством подтверждения прав доступа пользователей к информационным системам.
Не разглашать идентификационные данные.
Использовать пароли, отвечающие критериям качественного пароля, принятым в Компании.
Менять временный пароль при первом входе в информационную систему.
Регулярно менять пароли.
Не использовать автоматический вход в систему.
Пример политики создания паролей для учетных записей
Политика паролей для пользовательских учетных записей
Длина пароля – не менее 8 символов.
Пароль обязательно должен включать в себя прописные и строчные буквы, цифры, специальные символы.
Максимальный срок действия пароля должен быть ограничен двумя месяцами.
Учетная запись пользователя, не сменившего вовремя пароль, должна автоматически блокироваться. Блокировка должна сниматься «вручную» системным администратором или специалистом службы технической поддержки с одновременной сменой пароля пользователя.
Новый пароль пользователя не должен совпадать как минимум с тремя предыдущими паролями.
Пароль не должен совпадать с именем учетной записи пользователя.
Для предотвращения попыток подбора пароля после 5 неудачных попыток авторизации учетная запись пользователя должна блокироваться на 30 минут, после чего блокировка должна автоматически сниматься. В журнал системных событий сервера должно заноситься сообщение о многократно неудавшихся попытках авторизации пользователя.
Рекомендуется, чтобы пароли пользователей на доступ к различным ресурсам корпоративной информационной системы (для учетных записей домена, электронной почты, базы данных) различались.
Недопустимо хранение пароля в открытом виде на любых видах носителей информации.
Политика паролей для административных учетных записей
Длина пароля – не менее 16 символов.
Пароль обязательно должен включать в себя прописные и строчные буквы, цифры, специальные символы.
Максимальный срок действия пароля должен быть ограничен одним месяцем.
Новый пароль пользователя не должен совпадать как минимум с предыдущим паролем.
Пароль не должен совпадать с именем учетной записи пользователя.
В случае неудавшейся попытки авторизации в журнал системных событий сервера должно заноситься соответствующее сообщение. При многократных неудавшихся попытках авторизации должно генерироваться предупреждение системы обнаружения вторжений.
Пароли на доступ к различным ресурсам должны различаться, не допускается использование универсальных паролей для административных учетных записей.
Недопустимо хранение пароля в открытом виде на любых видах носителей информации.
Криптографические ключи, используемые для аутентификации, должны быть защищены парольными фразами. Требования к стойкости парольных фраз криптографических ключей идентичны требованиям к паролям административных учетных записей.
Парольная политика
1. Описание
2. Цель
Цель этой политики установить стандарты создания сильных паролей, их защиту, хранение и частоту изменения.
3. Область применения
Эта политика относится ко всему персоналу, кто имеет или ответственен за доступ к конфиденциальной информации всех уровней (или любая форма доступа, которая поддерживает или требует пароля) на любой системе, оборудовании, имеющем доступ (или хранящем конфиденциальную информацию) к Вашей корпоративной сети.
4. Политика
5. Инструкции
Инструкция по созданию пароля. «ВАША КОМПАНИЯ» использует пароли для различных целей. Среди них: доступ к учётной записи пользователя, к веб-интерфейсам, к электронной почте, для защиты хранителя экрана, пароли голосовой почты и доступ к маршрутизаторам. Поскольку очень мало систем поддерживают токены с одноразовыми паролями (динамические пароли, которые используются только один раз), следует знать как выбрать стойкий пароль.
Плохие, слабые пароли обладают следующими признаками:
6. Параметры сильных паролей
Создавайте легкозапоминаемые пароли. Одним из способов создания таких паролей, использовать песни, стихи и другие легкозапоминающиеся фразы. Например из фразы: «This May Be One Way To Remember» можно получить такие пароли: «TmB1w2R!» или «Tmb1W>r
Внимание: Не используйте ни один из предыдущих примеров в качестве пароля!
7. Правила парольной защиты
Если кто-либо требует сообщить ваш пароль, сошлитесь на этот документ или попросите позвонить в отдел информационной безопасности.
Если вы считаете, что учётная запись или пароль скомпрометированы, сообщите об этом в отдел информационной безопасности «ВАША КОМПАНИЯ» и смените все пароли.
Уполномоченные лица «ВАША КОМПАНИЯ» могут регулярно проводить подбор или попытки взлома паролей. Если пароль будет угадан или взломан во время таких мероприятий, вас попросят сменить пароль.
8. Стандарт разработки приложений
Разработчики приложений должны обеспечить в своих программах следующие меры безопасности:
9. Использование паролей и парольных фраз для удалённого доступа.
Для контроля удалённого доступа к сетям «ВАША КОМПАНИЯ» используйте или одноразовые пароли или ассиметричную ключевую систему со стойкой парольной фразой.
Парольные фразы отличаются от паролей. Парольная фраза более длинная версия пароля и, таким образом, более надёжная. Парольные фразы обычно используются для аутентификации в ассиметричных системах шифрования. Ассиметричная ключевая система определяет математическую связь между открытым ключом, известным всем и закрытым ключом, известным только его владельцу. Без парольной фразы, дающей доступ к закрытому ключу, пользователь не получит доступ.
Парольная фраза обычно состоит из нескольких слов, являясь более устойчивой к атакам по словарю. Хорошая парольная фраза относительно длинная и содержит комбинацию букв в верхнем и нижнем регистре, а также цифры и знаки препинания. Вот пример хорошей парольной фразы: «The*?#>*@TrafficOnThe101Was*&#!#This Morning»
Все правила создания стойких паролей относятся и к парольным фразам.
10. Ответственность
Любой сотрудник, нарушивший настоящую политику, может быть подвергнут взысканию вплоть до увольнения.
Парольная политика организации
Комбинация имени учетной записи пользователя и пароля определяет пользователя в системе. Применение парольной политики является основным барьером для не авторизованного доступа в используемые системы.
Правила создания пароля:
Примеры слабых паролей:
Некоторые похожие пароли оказываются слабее, чем другие. Например, разница между паролем, состоящим из словарного слова, и паролем, состоящим из слова спутанного (то есть слова, буквы в котором заменены на, скажем, цифры сходного начертания, например: «о» на «0», «ч» на «4»), может стоить прибору для взлома паролей несколько лишних секунд — это добавляет к паролю немного сложности. В приведённых ниже примерах показаны разнообразные способы создания слабых паролей. В способах используются простые шаблоны, чем и объясняется низкая энтропия получаемых паролей — лёгкость их угадывания.
• Пароли по умолчанию: «password», «default», «admin», «guest» и другие. Список паролей по умолчанию широко распространён по интернету.
• Словарные слова: «chameleon», «RedSox», «sandbags», «bunnyhop!», «IntenseCrabtree» и другие, включая слова из не английских словарей.
• Слова с добавленными числами: «password1», «deer2000», «ivan1234» и другие. Подбор подобных паролей осуществляется очень быстро.
• Слова с заменёнными буквами: «p@ssw0rd», «l33th4x0r», «g0ldf1sh» и другие. Подобные пароли могут быть проверены автоматически с небольшими временными затратами.
• Слова, составленные из двух слов: «crabcrab», «stopstop», «treetree», «passpass» и другие.
• Распространённые последовательности на клавиатуре: «qwerty», «12345», «asdfgh», «fred» и другие.
• Широко известные наборы цифр: «911», «314159…», «271828…», «112358…» и другие.
• Личные данные: «ivpetrov123», «1/1/1970», номер телефона, имя пользователя, ИНН, адрес и другие.
У пароля существует много других возможностей оказаться слабым, судя по сложности некоторых схем атак. Главный принцип в том, чтобы пароль обладал высокой энтропией, а не определялся каким-либо умным шаблоном или личной информацией. Онлайн-сервисы часто предоставляют возможность восстановить пароль, которой может воспользоваться хакер и узнать таким образом пароль. Выбор сложного для угадывания ответа на вопрос поможет защитить пароль.
Моя рекомендация по запоминанию паролей
Очень сложно запомнить пароль вида *DKSdfPO#c3rZCSD_@Q#x, поэтому я использую следующую схему:
Мы берём сочетание нескольких слов с большой буквы, специальный символ и какую-нибудь дату (только не дата вашего дня рождения). Далее пишем то что получилось латинскими буквами.
Например «Сочный» и «Мексиканец», добавляем специальный символ * и дату основания вашего города, я возьму дату основания г. Москва — 1147
Получаем надежный и запоминающийся пароль СочныйМексиканец*1147 или CjxysqVtrcbrfytw*1147
Как заключение
Использование одинакового пароля в почтовой учетной записи и стороннем сайте грозит утерей ваших данных. Периодически злоумышленники находят уязвимости и взламывают базы данных даже крупнейших интернет ресурсов, даже таких как Яндекс и Гугл.
Поэтому не используйте одни и те же пароли на различных онлайн ресурсах.
Парольная политика и защита операционных систем
Парольная политика
Описание цели и области применения
Пароль — один из важных компонентов информационной безопасности, ибо из-за плохого пароля в разы повышается риск НСД в информационную систему предприятия. Все сотрудники предприятия несут ответственность за выполнение правил парольной политики безопасности.
Целью парольной политики является реализация стандартов, для создания сильных и стойких паролей. Такая политика применяется ко всем сотрудникам предприятия, которые имеют доступ к информационной системы. Политика имеет следующие правила:
Инструкции парольной политики
Пароли могут давать доступ к разным объектам (почта, веб-ресурс, маршрутизатор и тд). Токены поддерживают мало систем, и поэтому нужно использовать стойкие пароли. Плохие пароли можно определить по следующим критериям:
Критерии сильных паролей:
Правила парольной защиты
Нельзя использовать один и тот же пароль для доступа к разным ресурсам, как на работе так и дома. Пароли сотрудника является конфиденциальной информацией, и вы никому не обязанны сообщать его (даже сис. админу(!)). Также нельзя записывать пароли в любом его виде, даже в зашифрованном. Любой работник нарушивший парольную политику, может быть уволен.
Парольная защита ОС
Контроль доступа на основе наличия у пользователя идентификационную информацию самый распространен. Так как его использования не просит много затрат сил,времени или места в памяти, то он реализуется на компьютерах где не нужны методы защиты информации. Пароль дает пользователю психологический комфорт. Часто пароль используют с другими средствами защиты, что повышает уровень защиты от НСД. При стандартном алгоритме входа, каждый пользователь должен ввести свое имя и пароль. Администратор который следит за паролями, не должен применять плохо запоминаемых или случайных паролей, это может произвести к тому, что пользователь запишет пароль на носитель который может быть раскрыт.
Пароли, обычно используют как ключ для входа в систему, но их также используют и для шифрования, или блокирования записи, когда нужна уверенность в использовании только законного владельца или доверенного лица. Бывает так, что по сей день единственным рубежом между системой и злоумышленником остается пароль операционной системы. Если бы не обязательное условие при создании пользователя, что нужно ввести пароль, кто его знает. Перебором подобрать врядли получится, так как стоят ограничение на количество неправильных попыток ввода. Используют атаку на системный файл, где содержится информация о пользователях и паролях. Этот файл защищен даже от пользователя с правами администратора. Но пути злоумышленников не неисповедимы. При наличии такого файла злоумышленник использует специальные программы, для взлома файла. Они реализуют криптографические алгоритмы что бы можно было дешифровать пароли. Время, которое нужно для взлома пароля зависит от длины пароля и мощности компьютера. Но пользователи ленятся создавать длинные пароли, в итоге имеем то, что короткие пароли ломаются быстро. Также можно использовать специальные словари, в которых записаны различные варианты паролей.
Противостоять таким атакам можно использовав сложный пароль. Пароли можно поделить на:
Есть меры системы, которые запрашивают дополнительные меры по стойкости пароля. К примеру по длине набора символов. Также может просить включить цифры и заглавные буквы. Также когда пользователь впервые запускает компьютер и ему предлагают создать пароль, он долго не задумывается так как времени не много.
Одноразовые коды — это пароли которые действительны только один раз. Они могут использоваться для гостевого пользователя или для первого вхождения в систему пользователем. Для стойкого пароля нужно что бы пароль был в рамках:
Тестирование парольных политик крупнейших веб-сервисов
Passwords, passwords never change.
Почти каждый пользователь сети Интернет имеет хотя бы один аккаунт или хотя бы однажды оставлял свои данные в различных службах. Почтовые сервисы, социальные сети, облачные хранилища, онлайн-игры и многое другое, – в одном Facebook уже более 1 млрд учетных данных. Естественно, что, имея большую аудиторию, компании стараются обеспечивать хорошую защищенность своих серверов и сервисов. Однако, если пользователи не прилагают усилий к защите своих аккаунтов и вообще не соблюдают минимальных мер информационной безопасности, все усилия извне могут оказаться напрасны.
Парольные политики на сервисах
Для того, чтобы пользователи не смогли довольствоваться простейшими паролями, существуют парольные политики. Они определяют требования к длине, типам символов, сложности паролей и т. д. В ходе данного исследования мы решили разобраться, какие политики используются на различных веб-сервисах и как компании защищаются от слабых паролей.
Рассмотрим два возможных вектора атак на пользовательские аккаунты.
Злоумышленник собрал базу данных пользователей какого-то сервиса и пытается подобрать пароли к ним в режиме «онлайн». В принципе, он может задействовать большой словарь на десятки гигабайт и для каждого аккаунта попробовать найти нужную комбинацию символов. Но если на одну попытку будет тратиться одна секунда, результата можно не дождаться. А после трех попыток авторизации, сервис попросит ввести captcha, и автоматизированный перебор станет невозможен.
У злоумышленника оказалась БД сервиса с хешами паролей. Он пытается подобрать пароли по словарю или полным перебором, но обнаруживает, что хеши – это, например, bcrypt (scrypt), «соленый» sha512 или подобные комбинации, что снижает скорость работы на несколько порядков. Ждать результатов придется так же долго, как и в первом случае.
Было решено протестировать только самые популярные пароли, обладатели которых станут первыми жертвами в обоих вышеприведенных случаях. Чтобы не допустить их использования, при регистрации многие сайты дают рекомендации по выбору оптимальной комбинации символов. Давайте проверим, насколько подобные советы способны защитить пользователей.
Методология
Требования сервисов к паролям
Для анализа был определен набор правил, по сути — компиляция рекомендаций множества сервисов, популярных и не очень. Далее была произведена оценка предлагаемых ресурсами требований с помощью штрафных баллов. За каждый недочет, который может в итоге привести к «ослаблению» пароля, засчитывался балл. И, напротив, «уходили в минус» сервисы с оптимальными рекомендациями. Чем меньше баллов, тем лучше устроена парольная политика сервиса.
Конечно, хуже всего, если правил создания паролей нет вообще, и большое количество штрафных баллов тут не требует пояснений. Однако подход, при котором сервис требует создавать комбинацию не длиннее 12 символов или запрещает использовать символ @, также «ослабляет» пароли, поэтому и здесь штрафные очки оправданы.
Также был сформирован небольшой список паролей, которые в той или иной степени удовлетворяют этим правилам, но при этом являются словарными и часто используемыми. Если сервис позволял зарегистрироваться с одной из предложенных комбинаций, он получал баллы.
Тестовые словарные пароли
Для тестирования возможности установки простых паролей были выбраны пароли из нескольких известных словарей:
• Топ-100 самых плохих паролей (https://stricture-group.com/files/adobe-top100.txt)
• Топ-10000 (https://uwnthesis.wordpress.com/2012/08/30/top-10000-passwords-are-used-by-98-8-of-all-users/)
• Словарь RockYou – один из самых популярных словарей для атаки методом перебора
Достижения
Поскольку на сегодняшний день «ачивки» можно встретить везде где только можно, в качестве антинаград был придуман ряд таких вот «достижений»: информационные и практические.
После заполнения сервиса по всем таблицам, он получал какое-то определенное количество баллов. Градация представлена ниже:
Данная методика не является стандартизированной и не может претендовать на полноту, однако ее цель – в первую очередь, дать представление о состоянии парольных политик веб-сервисов.
Двухфакторная аутентификация
Поскольку в первую очередь исследовались парольные политики, то наличие или отсутствие 2FA (Two Factor Authentication) никак не влияло на итоговый балл.
В ходе тестирования было проанализировано 80 сервисов. Из них почти половина (43) имеет возможность включения двухфакторной аутентификации. Ни в одном она не применялась по умолчанию, а для некоторых приходилось специально искать в Интернете инструкции. Так, есть замечательный ресурс https://twofactorauth.org, на котором представлено огромное количество популярных сервисов и возможность включения на них 2FA. Наличие этой опции, возможность ее активации и правильное использование являются мощным механизмом обеспечения дополнительной безопасности.
Тестирование парольных политик веб-сервисов
Ниже представлена таблица, которая наглядно демонстрирует, какие сервисы больше всего беспокоятся о защите аккаунтов своих пользователей, буквально заставляя их создавать и использовать сложные пароли. Здесь же присутствуют и рекордсмены по количеству штрафных баллов, которые в погоне за популярностью забывают о безопасности.
Ниже расскажу о некоторых «результатах» для некоторых из них.
Почтовые сервисы
Почтовые сервисы – самые популярные из исследованных ресурсов. Помимо обычной переписки, они повсеместно используются для регистрации в других службах и приложениях. Проникнув в почтовый аккаунт, можно с помощью функции восстановления паролей получить доступ к другим сервисам, где зарегистрирован пользователь.
У половины крупнейших почтовых сервисов дела с защитой от простых паролей обстоят неплохо. За исключением одной службы, остальные не стали принимать в ходе тестирования простейшие комбинации. Однако если к простому паролю добавить хоть одну цифру/символ или изменить начальный символ на заглавный, он сразу становился приемлемым.
Социальные сети
Это самые популярные сервисы в мире сегодня: у одного только Facebook свыше миллиарда пользователей. Неудивительно, что с помощью соцсетей даже устраивают политические перевороты.
Обычно аккаунт человека в такой сети – не просто электронный набор данных типа John117, а описание конкретной личности. Люди не всегда понимают, что их профили могут быть взломаны, и предоставляют подробную информацию о себе. Иногда, проникнув в аккаунт в социальной сети, злоумышленник может завладеть критичными данными человека и доступом ко всему его кругу общения.
Большинство исследуемых сервисов предъявляет только минимальные требования к длине пользовательского пароля.
Очень «порадовал» сервис MeetMe, предложивший не утруждать себя и остановиться на пароле длиной от 3 до 12 символов.
В большинстве случаев все или подавляющее количество тестируемых паролей подошли. Получается, что соцсетям все равно, какой пароль вы придумаете.С парольными политиками соцсетей дела обстоят неважно. Об этом свидетельствуют как общие оценки, так и огромное количество «достижений». Понятно, что это сделано для удобства: пользователь должен быстрее зарегистрироваться в соцсети, ему ничего не должно мешать, а вопросы безопасности остаются «за кадром». Выбрал слабый пароль – твои проблемы.
Электронная коммерция
Поскольку онлайн-магазины и предприятия электронной коммерции позволяют приобретать товары и услуги, пользователям удобно оставлять им свои персональные данные, сообщать о месте жительства и вообще давать всю свою контактную информацию. Неплохо было бы, чтобы эти сервисы запрещали устанавливать пароли типа 123456. Посмотрим, что происходит на самом деле.
Оказалось, что сервисы электронной коммерции, как и соцсети, не любят предъявлять какие-то конкретные правила и требования к сложности пароля. Исключения – разве что Amazon, eBay и Best Buy.
Подобную «беззаботность» по отношению к паролям можно объяснить желанием привлечь и удержать покупателей. Если пользователь тратит на оформление покупки или регистрацию на одном сервисе две минуты, а на другом тридцать секунд, при условии, что ассортимент и цены приблизительно равны, он наверняка пойдет совершать покупки на второй сервис.
Статистика показывает (хоть выборка и невелика), что только в 10 % онлайн-магазинов существует какая-либо парольная политика. За исключением одного, все конкурсанты могут составить «достойную» конкуренцию социальным сетям. И это при том, что все вполне представляют себе, какие перспективы перед злоумышленником открывает взлом аккаунта пользователя сервиса электронной коммерции. С его помощью можно получить данные о заказах, истории платежей, персональную информацию. В конце концов, можно «освоить» чужие бонусы или заказать пользователю большое количество товаров на дом. Интересный факт: при попытке восстановить пароль Ozon.ru дает не ссылку для создания нового, а актуальный пароль в открытом виде.
Выводы
Не всегда даже самые крупные сервисы уделяют достаточное внимание защите от создания простых паролей, а значит, и безопасности аккаунтов пользователей. Лишь единицы из самых популярных ресурсов Интернета предъявляют серьезные требования к аутентификации. В ходе исследования, победителями оказались широко известные ресурсы: Gmail, Apple Store, MEGA, WebMoney, eBay. Однако большинство – проиграло. В ежедневных сводках утечек информации присутствуют даже специализированные ресурсы, на которых публикуются аккаунты пользователей тех или иных сервисов, специализированные скрипты для брутфорса учетных записей и многое другое.
Такое отношение к безопасной аутентификации можно объяснить погоней сервисов за аудиторией. Здесь необходимо выбрать «золотую середину»: слишком сложные правила заставят потратить ощутимо больше времени на регистрацию, что может отпугнуть пользователя. С другой стороны, полное отсутствие политик обязательно повлечет за собой возникновение инцидентов.
Впрочем, как бы ни старались разработчики сервисов, если пользователь сам не будет заботиться о своей защите, ему никто не поможет.
Популярные заблуждения
Сервисам и разработчикам не стоит полностью полагаться на пользователей, а последние не должны безоговорочно доверять интернет-службам. Если ресурс допускает возможность создания пароля длиной менее 8 символов, не осуществляет проверок, халатно относится к собственным рекомендациям, стоит ли вообще доверять ему управление своими данными?
