Многие пользователи просто приклеивают листочки с паролями к своему монитору

Счастье, что мы наконец решились проверить пароли в нашем домене и в филиале, с которым мы поддерживаем открытые доверительные отношения. Результаты проверки привели меня в полное уныние.

В сети на основе Windows политика паролей устанавливается на уровне домена. В нашей среде управление соответствующей политикой осуществляется с помощью механизмов Active Directory. Текущая политика назначения паролей предусматривает выполнение трех условий.

  1. Система помнит десять последних паролей. Это означает, что повторно использовать ранее введенный пароль можно только на одиннадцатый раз.
  2. Максимальный срок действия пароля составляет 45 дней.
  3. Пароль должен отвечать «требованиям, предъявляемым к его сложности». Пароль не может включать в себя имя или часть имени пользователя. Его длина должна быть не меньше восьми символов, а символы относятся к трем-четырем категориям — латинские прописные буквы, латинские строчные буквы, цифры или специальные символы (например, !, $ или #).

Звучит все это красиво, но такая политика является недостаточно строгой и позволяет задавать слишком простые пароли, наподобие Password1 или Password2. Не удивительно, что именно эти пароли мы и обнаружили в нашей сети.

Просматривая список пользователей, пароли которых вскрывались элементарно, я прежде всего искал в нем ключевых руководителей, администраторов доменов и других людей, доступ к учетным записям которых представляет потен?циальную угрозу для системы безопасности. Стоит ли говорить о том, что в этом списке присутствовали представители всех указанных категорий. Встречались и практически незащищенные записи начальников с совершенно глупыми паролями. Моей первой реакцией было отправить одному из администраторов домена электронное письмо с просьбой придумать себе более безопасный пароль. Затем я передал список руководству, попросив разрешения связаться с вице-президентом компании, курирующим вопросы ИТ, с тем чтобы заручиться его поддержкой в деле ужесточения политики назначения паролей.

Парольные кошмары

Следующие мои шаги состояли в утверждении более жесткой политики паролей, получении соответствующих полномочий от руководства, публикации информации об особенностях новой политики и ужесточении технической политики управления паролями. После этого я замер в ожидании протестов со стороны конечных пользователей. Принятие более жесткой политики в данной ситуации кажется вполне логичным, но специалисты по безопасности хорошо знают: то, что представляется нам весьма разумным, очень часто встречает ожесточенное сопротивление на самых разных уровнях.

Тем не менее вам, наверное, интересно, чем же завершилась реформа политики назначения паролей. Один из моих инженеров по безопасности настойчиво продвигал идею перехода на одноразовые пароли, задаваемые с помощью карт SecureID. У нас уже работает карточная схема аутентификации для удаленных пользователей, которые подключаются к системе через виртуальную частную сеть. Но для внутреннего подключения карты до сих пор не применялись. Я продолжаю утверждать, что подобный подход не устранит парольный хаос в среде внутренних пользователей. Многие из тех, кому требуется сразу несколько паролей для подключения к различным приложениям, просто приклеивают листочки с паролями к монитору. Думаю, что то же самое произойдет и с картами. Но хуже всего, что пользователи имеют обыкновение терять карты буквально через день. Поэтому я бы предложил лучше профинансировать проект однократной авторизации.

Интересным вариантом является использование вместо паролей ключевых фраз допуска (passphrases). Подумайте: чем длиннее пароль, тем труднее его вскрыть. Статистическая вероятность взлома фразы типа «Все, что я хочу на Рождество, — это спокойно почитать Монтеня!» невелика из-за большого количества символов, дополняемых пробелами, а также из-за разной длины и произвольного расположения слов. Заинтересовавшись данным вопросом, я внимательно проштудировал целую серию посвященных ему статей, написанных Джаспером Йоханссоном — менеджером по защите программных систем подразделения безопасности бизнеса и технологий Microsoft. Какая своевременная находка!

Сегодня я с увлечением слежу за дебатами сторонников ключевых фраз и паролей и с нетерпением жду дальнейшего развития событий в ходе этого противостояния. У себя в компании мы пытались обучать конечных пользователей созданию (и запоминанию) паролей, включающих в себя специальные символы и не несущих никакого смысла. Но не лучше ли будет предложить им более простой способ, обеспечивающий к тому же повышенную степень безопасности?

Данная статья написана действующим менеджером по безопасности, чье настоящее имя и место работы мы по понятным причинам не публикуем. Электронную почту автору следует направлять по адресу mscjkelly@yahoo.com.