Введение
“Используйте надежный пароль” – это как “пользуйтесь солнцезащитным кремом” в цифровом мире: все знают, что это хороший совет, но слишком мало людей действительно следуют ему. Вместо этого они используют легко запоминающиеся пароли, вставляя “!” в конец секретного слова или вставляя “@” вместо буквы “а” (не зря самым популярным паролем является “P@ssword!”). Конечно, все это не уменьшает угрозу взлома для большинства компаний. Неудобная правда заключается в том, что безопасность паролей остается распространенной и недооцененной проблемой. И для компаний одной из самых больших проблем в укреплении безопасности является побуждение сотрудников к более тщательной гигиене паролей.
Проблема заключается в том, что человеческая природа сложна. Дело не только в том, что пользователи не хотят тратить драгоценную когнитивную энергию на запоминание уникальных и сложных паролей для каждой учетной записи. Часто они пытаются избежать чувства разочарования, которое сопровождает их неспособность легко вспомнить информацию. Простые и привычные пароли всегда будут иметь преимущество перед сложными и более надежными. К сожалению, человеческий фактор безопасности паролей сводится к тому, что проще, а не к тому, что надежнее.
Мы видели, как это происходит. Несмотря на то, что люди знают об опасности слабых паролей, которые уязвимы для атак методом перебора, и повторяющихся паролей, они делают и то, и другое снова и снова. Согласно опросу, проведенному Google в 2019 году, более 52% пользователей признаются в повторном использовании паролей, а около 13% – в использовании одного пароля для всех учетных записей. В то же время 68% пользователей паролей признаются, что повторно используют учетные данные, потому что боятся их забыть; а 36% не считают свои аккаунты настолько ценными, чтобы требовать более строгих мер безопасности.
Что же могут сделать компании? Хорошая новость заключается в том, что это не вопрос выбора между “золотым стандартом” безопасности или вообще ничем. Вместо этого компаниям необходимо найти подход, который лучше всего подходит для их сотрудников – и которому сотрудники действительно будут следовать. Вот пять рекомендаций, которыми руководители и ИТ-отделы могут поделиться с сотрудниками и командами, чтобы помочь им найти – и использовать – правильный уровень защиты для любой ситуации.
Первый уровень: выброшенный пароль
Выброшенный пароль – это пароль, который используется с выброшенным адресом электронной почты. Если вы когда-нибудь создавали “горящий” адрес электронной почты для использования бесплатной пробной версии, идея примерно та же. Эти одноразовые учетные записи особенно полезны, если вы знаете, что сразу же будете подписаны на бесконечный шквал неоцененных писем о продажах до конца жизни этой учетной записи (кнопки “отписаться” не существует). Неважные пароли для этих тривиальных учетных записей обеспечивают защиту в своей незначительности. Если (когда) эти пароли будут украдены или эти учетные записи будут взломаны, никакая важная информация или пароли не будут потеряны. Кража не подвергнет риску#nbsp;критически важные учетные записи или пароли.
Для этих учетных записей можно использовать простой пароль, состоящий из слова, нескольких букв и специального символа. Например: Frodo123! Но никогда больше не используйте этот пароль для других учетных записей электронной почты. Повторное использование простого пароля на нескольких платформах может стать серьезной проблемой.
Второй уровень: фразы пароля
Пароли из четырех или пяти символов, независимо от комбинации цифр, букв или символов, одинаково уязвимы. Именно поэтому эксперты теперь рекомендуют использовать как минимум 12-символьный пароль. Проблема в том, что никому не нравится запоминать кучу длинных и сложных паролей. Здесь на помощь приходят парольные фразы.
Фраза пароля длиннее, чем простой однословный пароль, но ее легко запомнить. Большинство из нас должны использовать парольные фразы вместо слов, чтобы увеличить длину символов, но они не должны быть такими простыми, как текст песни (профессиональные хакеры уже давно раскусили эту уловку). Использовать “everybreathyoutake”, “oopsididitagain” или “igottafeeling” – это практически напрашиваться на взлом. Вот лучший пример, который может быть более применим к вам, представителям поколения X: In1984VanH@lenRock$! Хотя эти пароли не являются золотым стандартом хорошего управления паролями, они полезны для тех, кто не будет регулярно использовать хорошую гигиену паролей, описанную в более высоких уровнях онлайн-защиты.
Третий уровень: фраза пароля, использующая шаблон
Это пароль, который может быть использован на разных платформах, но при этом достаточно сильно отличаться, чтобы этот пароль нельзя было использовать дважды. Например, если у вас есть несколько аккаунтов в социальных сетях, вы можете использовать слово с цветом (и уникальным номером/символом) для всех этих аккаунтов. Например: Instagram – urRED!@7am&8pm, Facebook – urWHITE!@7am&8pm, LinkedIn – urBLUE!@7am&8pm.
Несколько слов предостережения: есть организации, которые требуют менять пароли каждые 90 дней. В этом случае люди используют четыре времени года, чтобы соответствовать требуемому времени обновления. Например: “Весна2023!”, “Лето2023!”, “Осень2023!”, “Зима2023!”. Опять же, профессиональный хакер сможет взломать этот код менее чем за минуту. Используйте комбинацию, которая характерна только для вас – и только для вас (и перестаньте так часто использовать “!” – попробуйте использовать “+” или другой менее распространенный символ).
Четвертый уровень: парольная фраза с двухфакторной аутентификацией
Двухфакторная аутентификация рекомендуется для более важных учетных записей, таких как банковская информация, рабочая электронная почта и обмен файлами. Для этого может использоваться текст подтверждения, электронная почта, биометрические данные или токен, будь то физический брелок или система аутентификации типа Google Authenticator. Применяя двухфакторную аутентификацию в сочетании со сложной парольной фразой, вы значительно снижаете шансы быть взломанным. Хотя двухфакторная аутентификация не идеальна, она предоставляет пользователю то, что любой специалист по безопасности скажет вам, что это очень важно: она делает вас гораздо более трудной мишенью, что обычно означает, что ваш противник, скорее всего, перейдет к более легким жертвам.
Пятый уровень: программное обеспечение для управления паролями с двухфакторной аутентификацией
Зная, что сложная парольная фраза в сочетании с двухфакторной аутентификацией является лучшим способом защиты информации для входа в систему, остается проблема запоминания, записи и/или обмена этой информацией. По этой причине организациям, которые обмениваются информацией для входа в систему, рекомендуется, чтобы сотрудники использовали программное обеспечение для управления паролями, например, 1Password или Dashlane.
Хотя менеджер паролей и не является безошибочным, он помогает сотрудникам, которые могут не соблюдать правила кибергигиены, предотвратить непреднамеренную утечку данных. Он также позволяет немедленно заблокировать сотрудника, который недавно был уволен, без необходимости тратить время на общий сброс пароля организации.
Общие учетные записи представляют собой неотъемлемый риск. Как только вы сообщаете пароль другому человеку, уязвимость возрастает, а вместе с ней и вероятность взлома. Если вы собираетесь использовать общий пароль, его необходимо менять как минимум каждые 90 дней и сразу после того, как человек, имеющий доступ к паролю, покинет вашу организацию. Большинство крупных государственных и частных организаций предписывают такую частоту обновления паролей. Просто убедитесь, что вы избегаете легко ожидаемых форматов, упомянутых выше (Spring2023!, Summer2023!, Fall2023!, Winter2023!).
Плохое управление паролями уже более 10 лет является основной причиной утечки данных. Каждую неделю крадут один миллион паролей. Использование украденной информации для входа в систему является вторым по распространенности способом взлома. Восемьдесят пять процентов случаев утечки данных связаны с персоналом, таким как фишинг, кража учетных данных и человеческие ошибки. Такие случаи компрометации данных часто совершаются внешними субъектами с целью получения финансовой выгоды. В отчете Verizon Data Breach Investigations Report за 2022 год объясняется, что, нападая на предприятия и организации, недоброжелатели часто получают доступ к сетям через слабые или украденные пароли – на самом деле, 82% нарушений безопасности, происходящих в рамках базовых атак на веб-приложения, достигаются путем кражи учетных данных, таких как пароли.
Компании должны найти наиболее безопасный подход, которому сотрудники действительно будут следовать. При разработке политики безопасности паролей следует помнить об этом. Самая лучшая система в мире не принесет пользы, если сотрудники будут работать против нее. Поэтому, хотя компании должны стремиться показать сотрудникам, что безопасность и использование правильных паролей не обязательно должны быть обременительными, они также должны попытаться найти баланс, который действительно работает для сотрудников.