Безпека паролів від CERT-UA. Розмір — важливий.

21/08/2014

Часто комп’ютерні системи та сервіси ламають шляхом підбору паролю. Якщо пароль простий його не складно підібрати шляхом перебору усіх можливих комбінацій або за словником. Ми часто стикаємось з нерозумінням користувачів того, наскільки важливо обрати “стійкий” (тобто, надійний та складний до підбору) пароль, як його зберігати та коли змінювати.

 

Нижче наведемо деякі рекомендації щодо паролів:

 

  • використовуйте двофакторну автентифікацію для привілейованих облікових записів (адміністраторських акаунтів). Приклад налаштування двохфакторної автентифікації для gmail — тут (https://support.google.com/accounts/answer/180744?hl=en);

  • мінімальна рекомендована CERT-UA довжина паролю — 15 символів. Щоб перевірити наскільки Ваш пароль складний для зламу можливо використати ресурс https://howsecureismypassword.net/ або на аналогічних веб-ресурсах (зауважимо, що використання протоколу HTTPS у цьому випадку у інтересах Вашої безпеки. CERT-UA не несе відповідальності за безпеку паролів, які Ви довірите цьому і подібним веб-сайтам). Тут оцінювання складності паролю відбувається по часу, за який пароль буде гарантовано зламано шляхом методу перебору усіх комбінацій, так званий метод brute-force. Ми спробували тестовий пароль і ось що вийшло: 

passisnoteasy

  • використовуйте (та вимагайте від інших) змішані цифро-літерні паролі, з спеціальними символами різного регістру (великі та малі символи);

  • уникайте використання раніше використаних паролів. Не використовуйте один пароль для доступу до декількох облікових записів (комп’ютерів, серсівсів, систем);

  • уникайте використання легко вгадуваних паролів (дата народження, номер телефону, різні імена, тощо);

  • використовуйте хоча б метод автентифікації NTLM v2 (як мінімально надійний) та деактивуйте використання LAN Managed passwords (детальніше про це написано у публікації Microsoft Support 299656);

  • відключіть кешування автентифікаційних даних, якщо це не вимгається груповою політикою Group Policy Object (GPO). Більш детально — про це написано у публікаціях Microsoft Support 306992 та 555631;

  • впровадьте політику зберігання паролів, яка передбачає шифрування паролів (зберігайте паролі у дійсно надійному місці). Стікер з паролями на моніторі — це не надійно!

  • якщо обліковий запис (account) адміністратора зламано, змініть негайно його для попередження подальшої експлуатації системи (сервісу). Зміна повинна проводитись з гарантовано (перевірено) чистої від шкідливого програмного забезпечення системи (детальніше про відновлення скомпрометованих  Windows/Unix-систем - тут).

  • намагайтесь не використовувати особисте обладнання у службових цілях (це стосується також роботи з дому);

  • обмежте використання та контролюйте підключення медіа-пристроїв (флешки, планшети, КПК, 3G-модеми, тощо). Бажано,  не шкодити своїми гаджетами корпоративним інтересам та безпеці Вашого ПК.

 

Додатковий матеріал з питань забезпечення корпоративної безпеки:

 

1. Governing for Enterprise Security (GES) Implementation Guide - http://www.cert.org/historical/governance/implementation-guide.cfm

2. Steps for Recovering from a UNIX or NT System Compromise - http://www.cert.org/historical/tech_tips/win-unix-system_compromise.cfm