Стоит ли следовать последним рекомендациям NIST?

Когда в начале этого года Национальный институт стандартов и технологий (NIST) выпустил обновление Руководства по цифровой идентификации, люди обратили на него внимание. Одна из рекомендаций, которая хорошо выглядит на бумаге, — удаление периодического истечения срока действия пароля. Сможет ли организация внедрить это руководство или нет, зависит от других существующих методов обеспечения безопасности, включая использование многофакторной проверки подлинности.

Мы привыкли к непрекращающимся громким заявлениям о крупных взломах. Пользователи накапливают все больше и больше паролей, и многие из недавних взломов являются прямым результатом их компрометации. Отчет Verizon о расследовании утечек данных за 2017 год показал, что 81% нарушений, связанных со взломом, были связаны с использованием украденных и/или слабых паролей. Чаще всего рекомендуется сменить пароль. Тем не менее, люди не могут утруждать себя запоминанием совершенно нового пароля. Они соглашаются, добавляя числовую последовательность, восклицательный знак или год к своему существующему паролю. В ответ отраслевые эксперты утверждают, что удобство использования сбалансировано с безопасностью. Это означает тщательное изучение обычных мер безопасности, которые, как считается, поощряют плохое поведение пользователей.

В перекрестном огне удобства использования и безопасности мы находим обязательную смену пароля, и на то есть веская причина. Существует достаточно научных данных, чтобы предположить минимальную отдачу при высоких затратах для конечного пользователя. Когда пользователи вынуждены устанавливать новый пароль, пользователи подчиняются предсказуемым шаблонам — замене символов, буквам, увеличению чисел и другим распространенным привычкам, которые не имеют шансов против хакеров. Пользователи также имеют тенденцию забывать новые пароли. Некоторые прибегают к их записи, другие вообще забывают, создавая нагрузку на службу поддержки с запросами на сброс. С учетом рекомендаций NIST по цифровой идентификации, поощряющих удаление сроков действия паролей, это заманчивый вариант для ИТ-менеджеров, стремящихся повысить безопасность паролей.

С другой стороны, истечение срока действия и периодические изменения предотвращают неограниченный доступ через скомпрометированные учетные данные. Хакеры настойчивы, не заинтересованы в сборе данных за день. Они остаются незамеченными месяцами, нанося удары только тогда, когда могут нанести серьезный ущерб. Регулярная смена пароля может ограничить этот тип атаки. Существуют также соображения соответствия, такие как требование PCI DSS об истечении срока действия паролей каждые 90 дней.

Вот где это становится сложно. Поскольку учетные данные, раскрытые при одном взломе, могут открыть дверь в другие системы, те же эксперты, в том числе NIST, предлагают сравнивать потенциальные пароли со списком распространенных/скомпрометированных паролей. Эти пароли собраны в словаре паролей и заблокированы для использования в будущем. Это что-то вроде уловки-22. Чтобы заранее свериться со словарем паролей и предотвратить создание уязвимых паролей, вы делаете это при смене пароля. Поэтому, если вы используете словарь паролей для усиления безопасности, вам необходимо убедиться, что смена пароля происходит достаточно часто, чтобы учитывать последние списки. Означает ли это периодическое истечение срока действия пароля или ручное принудительное изменение при добавлении новых словарей, это решение вам придется обдумать.

Действительность истечения срока действия пароля зависит от системы аутентификации. Технологические гиганты, такие как Google, Microsoft и Apple, предлагают пользователям варианты многофакторной аутентификации. Согласно недавнему опросу KnowBe4, в котором приняли участие 2600 ИТ-специалистов, корпоративные организации следуют этой тенденции: только 38% заявили, что они не используют многофакторную аутентификацию. Напротив, 62% малых и средних организаций не используют многофакторную аутентификацию. Если вы обнаружите свою организацию в последней статистике, вероятно, не стоит отказываться от истечения срока действия пароля без более надежных параметров проверки подлинности, таких как многофакторная проверка подлинности. Если это не на столе в ближайшем будущем, вам лучше изучить другие варианты.

Начните с аудита паролей. Вы можете сделать это внутри компании (конечно, с одобрения) или через этическую хакерскую компанию. Если вы решите пойти по пути «сделай сам», в вашем распоряжении множество бесплатных онлайн-инструментов. Эти инструменты обычно позволяют вам проверять хэш паролей NTLM, хранящийся в базе данных Active Directory, по тем же спискам, доступным хакерам. Если вы хотите использовать более активный подход, рассмотрите решение политики паролей, которое включает словари из коробки.

Еще одним бесплатным ресурсом является аудиторский инструмент от Specops Software. Инструмент сканирует вашу Active Directory на наличие политик слабых паролей и отображает интерактивные отчеты, содержащие информацию, связанную с паролями, такую как использование политики, срок действия и относительная надежность. Для каждой политики паролей вы можете развернуть и посмотреть, как параметры соотносятся с различными отраслевыми стандартами, включая NIST, PCI и SANS. Инструмент также выявляет другие уязвимые места в системе безопасности, которые могли остаться незамеченными, например устаревшие административные учетные записи или учетные записи, не требующие паролей, как показано на снимке экрана ниже. Дополнительным преимуществом является то, что инструмент не отправляет никакой информации за пределы вашей среды.

С таким количеством противоречивых мнений, передового опыта и нормативных рекомендаций легко заблудиться. Помните, что один размер не подходит всем. Если вы планируете истечение срока действия пароля, убедитесь, что у вас есть подходящие инструменты. Помните о различных ролях в вашей организации. Периодическая смена пароля может не потребоваться для пользователей с низким уровнем привилегий, но может потребоваться для ваших учетных записей администратора. Если вы еще этого не сделали, рассмотрите решение политики паролей с настройками словаря. Он достаточно эффективен для предотвращения создания пользователями паролей, уязвимых для атак по словарю.