Според последните насоки на NIST не е необходимо паролите да се сменят всяка година, а три произволни думи са по-добри от много символи.
Паролите са на път да отпаднат от години – и това не е изненада. Сами по себе си паролите са несъвършено средство за сигурност, отчасти защото хората често избират слаби идентификационни данни и ги повтарят в различни услуги.
В корпоративния сценарий това е особено проблематично, когато се съчетае с ИТ политики, които изискват редовна смяна на паролите. Именно с оглед на това нагласите започват да се променят.
Според новите насоки на Националния институт за стандарти и технологии (NIST) на САЩ вече не е необходимо паролите да се сменят всяка година, а три произволни думи могат да бъдат по-добри от много символи.
Последното ръководство на NIST, подкрепено от Националния център за киберсигурност (NCSC) и Microsoft, насърчава преминаването към простота и използваемост. Както NIST, така и NCSC сега препоръчват да се използват запомнящи се пароли, а не дълги и сложни низове.
В тези насоки също така силно се препоръчва многофакторно удостоверяване (MFA), за да се засили сигурността извън паролите.
Като се има предвид това, как фирмите да създадат сигурна политика за паролите?
В актуализираните насоки на NIST се разглеждат няколко проблема с паролите, които излагат на риск сигурността на потребителите и предприятията.
Много по-стари политики за пароли налагат правила за сложност. Те са „очевидно лоша идея“, казва Джеф Уоткинс, главен технологичен директор в CreateFuture. „Първо, те често ограничават паролата, намалявайки пространството за търсене на разбиване, и второ, те не са много удобни за човека.
„Това води до това, че хората използват механизми за справяне, при които заместванията всъщност не добавят истинска сложност. Освен това трудността при създаването и използването на сложна парола насърчава потребителите да прибягват до по-кратки такива.“
Междувременно честата смяна на паролите също може да доведе до предсказуеми, по-слаби пароли, казват експертите.
Когато потребителите са принудени често да сменят паролите си, те са склонни да създават по-прости удостоверения, които лесно могат да запомнят, казва Джошуа Уолш, специалист по информационна сигурност, част от екипа специалисти по кибернетично право, право на данните и информационно право в rradar. Това води до „малки, предвидими промени“ в предишната им парола, като например преминаване от „Парола1!“ към „Парола2!“, казва той.
Тези модели са лесно отгатваеми от хакерите: „Всъщност те не осигуряват осезаеми ползи за сигурността – казва Уолш. „Честите промени могат също така да предизвикат разочарование у потребителите и да увеличат вероятността за повторно използване на паролата в различни платформи, което увеличава общия риск и въздействието на компрометирането.“
Това може да направи организациите по-отворени към атаки, включващи използването на слаби или повторно използвани идентификационни данни. Хакерите използват различни техники, като атаки с груба сила, фишинг и пълнене на пълномощни, за да използват слаби или откраднати пароли, казва Уолш.
Противниците използват автоматизирани инструменти за отгатване на пароли или използват изтекли данни от предишни пробиви, за да получат достъп до бизнес акаунти. „След като хакерите получат достъп, те могат да увеличат привилегиите си, да откраднат чувствителни данни, да инсталират вреден софтуер, като например рансъмуер, или да причинят други щети, които могат да доведат до финансови загуби, увреждане на репутацията и регулаторни глоби“, предупреждава Уолш.
Целта на NIST и други организации като NCSC е да се намалят несигурните практики, като се направят по-добри за потребителите политики за пароли. Последният съвет да се използват пароли или поредици от думи е „много по-удобен за хората“, казва Уоткинс. „Паролата „лъскав жълт мотоциклет“ е по-запомняща се за хората от „1@£!!ej)_asjD“, като в същото време е и по-дълга.“
Така че, за да се възползват от съветите на NCSC и NIST, фирмите трябва да създадат политика за пароли, която да постига баланс между сигурността и удобството за ползване, казва Адам Сиймънс, ръководител на отдела за информационна сигурност в GRC International Group. „По този начин организациите могат да отговорят на нуждите за сигурност, без да претоварват потребителите, което увеличава вероятността политиките да бъдат спазвани.“
Като част от това, една политика за сигурна парола трябва да насърчава запомнящи се пароли, като например три произволни думи. „Трябва силно да се насърчават паролите с минимална дължина от поне 15 символа“, казва Уоткинс.
В същото време не поставяйте максимална стойност, съветва той. „Някои мениджъри на пароли създават много дълги такива, без правила за символна сложност. Не насилвайте или не забранявайте използването на специални символи,
Избягвайте обаче да налагате прекалено сложни правила за съставяне, тъй като те често могат да доведат до несигурни практики, включително повторно използване на пароли, казва Уолш.
Организациите трябва да изискват смяна на паролата само при конкретна нужда от сигурност, например след пробив, и да използват MFA, за да „добавят критично ниво на сигурност, допълващо паролата“, казва Сиймънс.
Постоянното обучение за повишаване на осведомеността също е важно, казва Сиймънс. „Обучавайте потребителите за значението на уникалните пароли и как да разпознават опитите за фишинг“.
Като бонус, ако искате да направите услугите си наистина удобни за потребителите, уверете се, че копирането и поставянето е разрешено, и разрешете използването на „покажи паролата“ от съображения за достъпност, казва Уоткинс. Освен това NIST препоръчва да използвате решение за управление на пароли, казва той. „Те значително улесняват управлението на множество идентификационни данни от страна на потребителя и силно възпрепятстват повторното използване на пароли в различни платформи.“
Широко разпространено е разбирането, че в днешната все по-свързана среда паролите не са достатъчни за защита на услугите. Силните пароли са важни, но винаги има вероятност някой да получи достъп до потребителски акаунти.
Ето къде идва ролята на MFA. „MFA добавя допълнително ниво на сигурност, като изисква допълнителни стъпки за проверка, например биометрични данни или еднократни кодове, повишавайки сигурността отвъд обикновените пароли“, казва Уолш.
Една надеждна форма на удостоверяване е ключът за сигурност. „Устойчивата на фишинг MFA с ключове за сигурност, като например хардуерните ключове за сигурност, може да спре отдалечените атаки, като изисква нещо, което знаете – парола – и нещо, което имате – ключ за сигурност – да се постави в устройството и физически да се докосне, за да получите достъп до акаунтите“, казва Найл Макконъчи, регионален директор за Великобритания и Ирландия в Yubico.
Интегрирането на MFA в политиката ви намалява зависимостта само от пароли. То също така намалява риска от неоторизиран достъп, дори ако хакерите са в състояние да отгатнат или да използват груба сила за удостоверяване на данните на хората.
„Изискването на множество фактори означава, че дори ако паролата е компрометирана, системата остава защитена“, казва Сиймънс. „PCI DSS 4.0 изисква MFA за чувствителни среди, а ангажиментът на Microsoft за сигурност без парола отразява прехода към по-сигурни и удобни за потребителя алтернативи.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.