Поиск по сайту:

Почему срок действия обязательного пароля больше не имеет смысла

Обязательная смена пароля на регулярной основе является фактом жизни во многих организациях. Эта старая практика поддерживается сторонниками как хорошая базовая мера безопасности для снижения рисков потери пароля. Но актуален ли он спустя десятилетия после того, как впервые появился?

Что решает истечение срока действия пароля?

Во-первых, важно понять, почему принудительное истечение срока действия пароля стало популярным. В большинстве организаций требуется смена пароля каждые 30 или 90 дней. Это связано с историческим прошлым более простых хэшей паролей, которые можно было взломать относительно быстро. Когда злоумышленник мог взломать пароль за пару месяцев, специалисты по безопасности предположили, что изменения в течение этого периода помогут обеспечить безопасность пользователей.

Сегодняшняя модель угроз выглядит несколько иначе. Пароли, зашифрованные современными механизмами хеширования, могут взламывать миллиарды лет.

В настоящее время преступники собирают пароли способами, которые сосредоточены на вас, пользователе, а не на сервисе, который их хранит. Наибольший риск представляют фишинговые и социальные инженерные атаки, а также скоординированные атаки по словарю с использованием списков известных паролей. Эти списки получены из предыдущих утечек данных.

Изменения в ландшафте угроз означают, что истечение срока действия паролей больше не решает проблему, для которой они были предназначены. Компромиссы происходят за секунды. К тому времени, как вы смените пароль, злоумышленники, вероятно, уже уйдут.

Проблемы с истечением срока действия пароля

Принудительная смена пароля является распространенным разочарованием среди пользователей. Они могут быть склонны выбирать последовательность коротких паролей, которые легко запомнить. Некоторые пользователи будут записывать каждый пароль, потенциально подвергая его компрометации — будь то в текстовом файле или в виде заметки на рабочем столе.

Исследование Университета Северной Каролины показало, что злоумышленник, имеющий доступ к предыдущим паролям, может определить текущий пароль пользователя менее чем за 3 секунды в 41 % случаев. Это убедительно свидетельствует о том, что многие пользователи вносят лишь тривиальные изменения в свои пароли с установленным интервалом.

Срок действия пароля предназначен для ограничения времени доступа злоумышленника к скомпрометированной системе. В сегодняшних изменившихся условиях злоумышленник может уже иметь постоянный доступ к моменту кражи списка паролей. Установка кейлоггера или другого подобного вредоносного ПО сразу аннулирует все преимущества истечения срока действия пароля.

Наконец, реальные пен-тестеры заявили, что они не обременены политикой истечения срока действия пароля. Политики часто защищают от угроз, которые они не могут сдержать. В наши дни регулярную смену паролей следует рассматривать как попытку побудить пользователей поддерживать безопасность. На практике он тоже плохо подходит для этого, так как создает неудобства, которых пользователи стараются избегать.

Прилив поворачивается против изменения вашего пароля

В совокупности эти факторы привели к тому, что в последние годы несколько известных организаций выступили против политики смены паролей. Начиная с Национального центра кибербезопасности Великобритании (NCSC) и заканчивая официальной базой безопасности Windows от Microsoft, эта некогда повсеместная практика быстро потеряла популярность.

В сообщении в блоге в 2016 году NCSC объяснил, что истечение срока действия представляет собой «затраты на удобство использования» для пользователей, которые перевешивают и без того сомнительные преимущества безопасности:

Это один из тех нелогичных сценариев безопасности; чем чаще пользователи вынуждены менять пароли, тем выше общая уязвимость для атак. То, что казалось совершенно разумным, давно установленным советом, оказывается, не выдерживает строгого анализа всей системы.

Влияние усталости паролей, скорее всего, ослабит общую систему безопасности организации, поскольку пользователи будут выбирать менее безопасные пароли и перестанут защищаться от текущих угроз. Злоумышленников не беспокоит политика истечения срока действия пароля — информация украдена в одно мгновение, обычно задолго до того, как запланированная смена пароля сможет смягчить последствия.

Что использовать вместо?

У системных администраторов по-прежнему есть несколько инструментов для защиты своих организаций. Из доступных вариантов образование может быть одним из самых сильных долгосрочных подходов. Объясните пользователям риски паролей с низким уровнем безопасности, чтобы побудить их сделать более безопасный выбор.

Вы также должны использовать подход многофакторной аутентификации. Добавление в уравнение приложения для аутентификации не позволит злоумышленникам использовать пароли, даже если они успешно украдут их. Это было невозможно, когда впервые начали применяться политики истечения срока действия паролей.

Если вы по-прежнему настаиваете на регулярной смене паролей или в вашей отрасли есть законодательство, требующее этого, найдите способы помочь своим пользователям. Предоставление одобренного программного обеспечения для управления паролями позволит пользователям генерировать и хранить безопасные пароли, не прибегая к простым фразам, нацарапанным на бумаге для заметок.

Отказ от истечения срока действия паролей не означает отказ от всех механизмов контроля паролей. Вы по-прежнему можете установить минимальную длину и сложность, чтобы подтолкнуть пользователей к правильному выбору. Кроме того, вы должны сохранить возможность аннулировать пароли, чтобы вы могли быстро заблокировать свои системы в случае взлома.

Вывод: пора остановить пароли с истекающим сроком действия

Раньше истечение срока действия пароля было достаточно эффективным для предотвращения кибератак вчерашней сети. Теперь от них больше проблем, чем пользы. Продолжение регулярной смены паролей будет раздражать пользователей, вызовет больше запросов в ИТ-поддержку и окажет незначительное или негативное влияние на вашу безопасность.

Политики срока действия были полезны, когда Интернет был меньше и медленнее. Интернет и связанные с ним угрозы сильно изменились за последние пару десятилетий. В настоящее время пользователи чаще сообщают злоумышленнику свой пароль в фишинговом электронном письме или мошенническом звонке, чем пароль, который фактически «украден» злоумышленником.

Для систем, где постоянный доступ представляет собой риск, однократное получение пароля привилегированного пользователя обычно дает злоумышленнику возможность установить лазейку или настроить собственную учетную запись пользователя. С таким количеством факторов, которые влияют на истечение срока действия пароля как на снижение безопасности, теперь важнее сосредоточиться на базовой гигиене паролей и более широкой картине киберзащиты.

Отказ от политики истечения срока действия пароля должен понравиться пользователям и повысить вашу безопасность. Сравните преимущества безопасности ваших методов работы с паролями и затраты удобства использования, связанные с повторным изучением учетных данных пользователями каждые несколько месяцев. Многие нормативные акты, такие как PCI-DSS и HIPAA, по-прежнему требуют регулярной смены пароля, но в нерегулируемых отраслях вам теперь следует дважды подумать, прежде чем использовать обязательное истечение срока действия.