реклама
разместить

Когда пароль может работать против вас и как этого избежать: советы компаниям и их сотрудникам

Когда пароль может работать против вас и как этого избежать: советы компаниям и их сотрудникам

Знаете ли вы, что хранить пароли в браузере небезопасно? Все равно так делаете, потому что удобно? Тогда не удивляйтесь, если конфиденциальные данные вдруг окажутся в чужих руках. Компании, в которых сотрудники не следуют простым правилам информационной безопасности, должны быть готовы к утечкам, а значит, к репутационным и финансовым рискам.

Мегаплан узнал у технического директора компании «Пассворк» Ильи Гараха, как сделать так, чтобы пароли не стали источником больших проблем — для вас лично и для компании, на которую вы работаете. Обсудили, как составлять, передавать и хранить пароли от цифровых сервисов, работая из офиса и удаленно, а заодно вспомнили исторические факты.

— Кто впервые использовал комбинацию логина и пароля для защиты информации?

— Это произошло в 1961 году, когда американский ученый Фернандо Корбато придумал программный пакет, позволявший разным людям работать за одним компьютером под своими паролем. Позже он вместе со своей командой из Массачусетского технологического института разработал Multics — операционную систему, которая использовала логины и пароли для идентификации пользователей. Она стала прародителем системы аутентификации, которую мы используем в наши дни.

В 1980-х годах компьютеры появились во многих коммерческих компаниях и частных домах. На это же время приходятся первые случаи взлома паролей корпоративных сетей, которые участились с развитием технологий. Из-за этого понадобились более надежные методы аутентификации, такие как пароли высокой сложности и двухфакторная аутентификация.

— Какие риски самые критичные при использовании корпоративных паролей?

— Их довольно много. Они возникают, уже когда вы придумываете пароль. В дальнейшем — когда изменяете пароль или пересылаете другим. Высокие риски несут:

Пароли, которые сотрудники используют повторно для нескольких учетных записей, приложений или систем. Если использовать один и тот же пароль в разных местах, взлом одной учетной записи почти точно приведет ко взлому других.

Слабые пароли, которые легко угадать или взломать с помощью различных методов, таких как перебор или словарные атаки. Слабые пароли обычно имеют небольшую длину, состоят из распространенных слов или фраз и не содержат цифр и специальных символов, в них не используются символы разных регистров.

Скомпрометированные пароли, которые были украдены, раскрыты или взломаны злоумышленниками.

Пароли, к которым есть доступ у уволенных сотрудников. Они могут быть использованы для несанкционированного доступа к учетным записям или системам.

Старые пароли, которые долгое время не менялись. Использование старых паролей увеличивает риски, поскольку с течением времени вероятность того, что пароль может быть украден или взломан, возрастает.

— Иногда у людей просто не хватает фантазии. Насколько безопасна автоматическая генерация паролей?

— Автоматическая генерация паролей безопасна и даже рекомендуется. С ее помощью можно создавать сильные — сложные и уникальные — пароли, которые трудно угадать или взломать.

Она работает таким образом, что алгоритм выбирает случайные символы из предопределенного набора, который может включать строчные и прописные буквы, цифры и специальные символы. Генерируемые пароли обычно имеют определенную длину, которую можно настроить в зависимости от требований безопасности. А чем длиннее пароль, тем сложнее его взломать.

Многие инструменты предлагают дополнительные параметры, например настройку сложности пароля или исключение похожих символов для удобства восприятия и запоминания.

— А как часто нужно менять пароли?

— То, как часто нужно обновлять пароли, зависит от типа учетной записи, уровня доступа и требований безопасности. В целом рекомендуется менять пароли, если существует угроза безопасности.

  • Для критических систем или аккаунтов с высоким уровнем доступа, таких как административные учетные записи, рекомендуется обновлять пароли каждые 30–60 дней.
  • Для обычных пользовательских учетных записей, которые предоставляют доступ к чувствительным данным, рекомендуется обновлять пароли каждые 60–90 дней.
  • Для учетных записей с ограниченным доступом или низким уровнем риска, обновление паролей раз в 180 дней может быть достаточно.

— Иногда коллеги просят прислать пароль от какого-то сервиса. Как это сделать безопасно?

— Никак. Рекомендую никогда не передавать пароли через социальные сети, мессенджеры или электронную почту. Чаты могут быть доступны не только адресату, но и третьим лицам. Например, злоумышленникам, которые взломали аккаунт пользователя или мессенджер. Кроме того, не все мессенджеры используют шифрование сквозного типа, а это значит, что сообщения в процессе передачи могут быть легко перехвачены.

К тому же после передачи пароля через мессенджер он может оставаться в чате, доступном для просмотра. Это может привести к компрометации пароля, если кто-то получит доступ к устройству или чату. Если вам прислали пароль, советую его запомнить, а сообщение сразу же удалить.

Не нужно забывать про человеческий фактор: можно случайно отправить пароль неправильному получателю или группе людей.

— В компаниях используется много сервисов, у каждого пользователя свой пароль. Где эти данные хранить?

— Многие хранят свои пароли на компьютерах, записывают в блокноты или сохраняют в телефонах. Однако у всех этих способов есть свои риски.

— Пароли, сохраненные на компьютере в виде текстовых файлов, на мобильных устройствах в приложениях для заметок, в виде фотографий или в контактах, могут попасть в руки злоумышленников. Они могут использовать для кражи данных вредоносное ПО. Компьютер и телефон могут украсть, или они могут потеряться, и тогда пароли также могут попасть в руки третьих лиц.

В отличие от электронных устройств бумажные записи не могут быть зашифрованы или защищены паролем, что делает их даже еще более уязвимыми.

Для защиты учетных записей и данных я рекомендую использовать сложные пароли, которые трудно угадать или подобрать. Обычно они состоят из случайной комбинации символов, включая строчные и прописные буквы, цифры и специальные символы.

Длинные пароли (например, 12 символов и более) являются более сложными для подбора.

— Какие дополнительные риски для информационной безопасности появились при переводе сотрудников на удаленку? Какие рекомендации можно дать сисадминам при подготовке компьютеров для удаленки?

— Их довольно много.

Удаленные сотрудники могут быть более уязвимы для атак на основе обмана, так как они не имеют возможности легко проверить подозрительные сообщения у коллег вживую. На удаленке устройства могут быть украдены или потеряны. А еще они легкодоступны для членов семьи или посторонних людей.

К тому же домашние и общественные сети Wi-Fi (например, в кафе или парках, откуда некоторые так любят работать) могут быть незащищенными, что упрощает доступ злоумышленников к корпоративной информации.

Сисадминам можно дать несколько рекомендаций по подготовке компьютеров для удаленной работы:

  1. Установите и настройте VPN-соединения, чтобы обеспечить безопасное подключение к корпоративной сети.
  2. Проведите обучение сотрудников по безопасности, акцентируя внимание на рисках удаленной работы и правильном использовании паролей.
  3. Установите на всех компьютерах антивирусное и антишпионское ПО, а также обеспечьте регулярное обновление систем и приложений.
  4. Рекомендуйте сотрудникам использовать менеджер паролей, такой как «Пассворк», для создания сильных уникальных паролей и их безопасного хранения.
  5. Ограничьте доступ к корпоративным системам и данным, предоставляя права только тем сотрудникам, которым это действительно необходимо.
  6. Реализуйте многофакторную аутентификацию для доступа к критическим системам и данным.
  7. Обеспечьте регулярный мониторинг и аудит действий сотрудников в корпоративных системах, чтобы быстро обнаружить подозрительные действия и принять меры.
  8. Создайте четкие правила по использованию оборудования, включая рекомендации по физической безопасности (хранение устройств, блокировка экранов при отсутствии и т. д.).
  9. Разработайте процедуры быстрого реагирования на инциденты безопасности, чтобы сотрудники знали, как действовать при обнаружении угрозы или утечки данных.

  10. Обеспечьте регулярную ротацию и обновление паролей, настраивая автоматическую смену паролей через определенные промежутки времени, чтобы минимизировать риски несанкционированного доступа.

— Какие еще дополнительные меры защиты от взлома существуют?

— Двухфакторная аутентификация, которая требует предоставить два способа доказательства того, что пользователь является владельцем учетной записи: что-то, что он знает (например, пароль), и что-то, что он имеет (например, токен, отправленный ему через мобильное устройство).

Также существуют еще две техники, используемые для обеспечения безопасности паролей при их хранении и передаче, — хеширование и соление.

Хеш-функции разработаны таким образом, что даже малейшие изменения во входных данных приводят к совершенно разным хешам. Это означает, что если пароли отличаются хотя бы на один символ, то их хеши будут совершенно разными. Важно отметить, что хеширование является односторонним процессом, то есть из полученного хеша невозможно восстановить исходный пароль. Использование хеширования при хранении паролей делает их менее уязвимыми для атак, так как вместо самих паролей хранятся их хеши, а злоумышленникам придется потратить значительные ресурсы на перебор паролей, чтобы подобрать соответствующий хеш.

При солении пароля к нему добавляется случайная строка символов (соль). Соль делает хеш пароля уникальным даже для одинаковых паролей, что усложняет атаки методом перебора или использование предварительно вычисленных таблиц для быстрого нахождения исходного пароля по хешу.

— Какие рекомендации вы можете дать всем нашим читателям?

— Для безопасности данных рекомендуется создавать пароли, которые трудно угадать или подобрать. Используйте пароли, состоящие из цифр, букв и специальных символов, чтобы они были сложнее. Не забывайте менять пароли время от времени, чтобы уменьшить риск несанкционированного доступа к вашей учетной записи.

Для корпоративных паролей рекомендуем использовать специальное ПО. Например, в менеджер паролей «Пассворк» можно добавлять доступы от разных сервисов и безопасно передавать пароли. Если кто-то уволится, программа проверит, какие пароли смотрел этот сотрудник, и предложит их заменить.

Помните, что безопасность ваших данных зависит от того, как вы управляете своими паролями и как делитесь ими с другими!

Вопрос от гендиректора Мегаплана Сергея Козлова:

— Паролями удобно обмениваться во внутренних корпоративных системах. Например, у нас в Мегаплане для этого есть отдельный чат, там администратор и директора хранят пароли от корпоративных сервисов. Насколько это безопасно?

— Использование внутренних корпоративных систем, таких как Мегаплан, для обмена паролями может быть неудобно. В чатах может быть трудно отслеживать изменения паролей и аудит использования паролей. Сложно будет понять, кто и когда использовал определенный пароль или получил доступ к нему. Удаление устаревших паролей или изменение доступа к ним может быть сложным, и это затрудняет поддержание актуальности данных.

Более удобно и безопасно использовать специализированные менеджеры паролей для корпоративных нужд. Такие инструменты предоставляют централизованное и защищенное хранилище паролей, где можно устанавливать разрешения на доступ, отслеживать изменения и аудировать использование паролей.

реклама
разместить
1 комментарий
Сенат Чехии направил президенту законопроект о запрете на двойное гражданство для россиян — им придётся отказываться от российского ради чешского

Сами парламентарии не смогли набрать достаточно голосов ни для его принятия, ни для заморозки.

Источник: Darya Tryfanava / Unsplash
66
55
22
22
11
реклама
разместить
«Юникредит банк» приостановил исходящие переводы в евро для физлиц

Вслед за «Райффайзенбанком».

55
44
22
11
Владелец TikTok выпустил ИИ-агента UI-TARS для управления компьютером вместо пользователя — он умеет «рассуждать»

У него открытый исходный код, есть приложение для macOS.

2121
99
22
11
11
Суд в Челябинске удовлетворил иск Генпрокуратуры о взыскании с бывших собственников «Макфы» более 19,7 млрд рублей

Слушания проходили в закрытом режиме.

1111
11
11
11
11
Фулфилмент с «Кактусом»: как не стать складским рабочим, а заниматься e-com

Свежий выпуск подкаста JVO: гость — Виктория Марочкина, директор департамента бизнес-развития фулфилмент-оператора «Кактус».

1717
33
Идеальный бизнес-кейс — как рассказать предпринимательскую историю и без громких успехов

Клиентам не нужны сухие отчеты с цифрами и графиками. Аудитория ждет историй, вдохновляющих и побуждающих к действию. Узнайте, как предпринимателю описать свой бизнес-кейс.

Идеальный бизнес-кейс — как рассказать предпринимательскую историю и без громких успехов
1313
1010
33
11
11
11
11
«Не мешайте людям тратить деньги на нашей территории»: глава аэропорта Пулково — о привлечении иностранцев и инвестиций

Тезисы из интервью гендиректора ООО «Воздушные ворота Северной столицы» Леонида Сергеева.

Леонид Сергеев. Источник фото: Пулково
2424
1313
33
11
11
11
Шведский биотех-стартап сооснователя Spotify Даниэля Эка Neko Health привлёк $260 млн при оценке $1,8 млрд

Деньги пойдут на открытие новых клиник, развитие технологий и выходы на новые рынки, включая США.

Neko Health
1313
66
11
11
[]