5 вредных советов: как создать пароль пользователя

Советы, которым не стоит следовать

Совет 1. Установите строгие требования к длине пароля

В целом, длинную комбинацию символов взломать сложнее, чем короткую. Так сотрудники наверняка будут создавать надежные пароли.

Почему это вредный совет? Категоричные требования к длине паролей могут вызвать нежелательное поведение сотрудников. Например, правило «установить пароль минимум из 14 символов» увеличит вероятность того, что пользователи будут использовать простые повторяющиеся шаблоны, например, «12345671234567». Такие пароли формально соответствуют требованиям, но взламываются легко.

Также, если обязать сотрудников использовать длинные пароли, они могут стараться упростить их, чтобы лучше запомнить, или сохранить в своих документах в незащищенном виде.

Совет 2. Не указывайте, какое правило нарушили пользователи при создании пароля

Бывает, что пароль пользователя не соответствует какому-либо требованию парольной политики. Сотрудник пытается создать пароль, система его не принимает, но пояснений при этом нет. Они особо и не нужны: пусть пользователь попробует еще раз. И незачем тратить время, чтобы описывать все правила создания паролей — так сотрудники тренируют смекалку.

Почему это вредный совет? Далеко не во всех компаниях уделяют внимание информационной безопасности (ИБ), а сотрудники имеют понятие о безопасных паролях. В то же время пренебрежительное отношение к паролям — первый шаг к тому, что конфиденциальная информация компании рано или поздно попадет в руки злоумышленников. Поэтому сотрудников важно обучать азам ИБ. Знакомство с парольной политикой — часть такого обучения. Но чтобы пользователи что-то усвоили, правила должны быть структурированы и изложены в понятной форме.

Совет 3. Не обязывайте пользователей использовать символы разных типов

Длинный пароль — надежный пароль. А насчет того, что нужно использовать буквы в разном регистре, цифры и неалфавитные символы, пользователи сами догадаются.

Почему это вредный совет? Требование к наличию в пароле разных видов символов не всегда делает его надежным. Пользователи также могут снова обратиться к предсказуемым комбинациям — например, укажут заглавную букву в первой позиции. Такой прием легко угадывается злоумышленниками.

Однако пренебрегать правилом включать разные типы символов в пароль не стоит. Так, добавление по крайней мере одного неалфавитного символа увеличивает пространство подбора, который уже не ограничен одними словами. Значит, и итоговый пароль сложнее взломать.

Совет 4. Не требуйте от сотрудников менять пароли

Пользователю достаточно задать длинный пароль, и больше можно вообще о нем не вспоминать. А паролем, в котором есть цифры, строчные и заглавные символы, сможет пользоваться и новый сотрудник, если предыдущий уволится.

Почему это вредный совет? С одной стороны, слишком строгие требования к сроку действия паролей тоже представляют собой проблему. Пользователи могут выбирать очевидные пароли с комбинацией символов, которая похожа на предыдущую. Например, они могут менять одну только букву или цифру.

Но раз в полгода или год пароли стоит обновлять. Если сотрудник увольняется, их нужно менять сразу же.

Совет 5. Разрешайте пользователям парольные подсказки

Если сотрудник забыл свой пароль, с помощью подсказки он сможет вспомнить его самостоятельно, а значит, не будет отвлекать IT-отдел от более важных задач.

Почему это вредный совет? На первый взгляд, это удобное решение, но риски, которые оно несет, перевешивают это удобство. Подсказка, которую задает пользователь, может оказаться достаточно очевидной, и взломщики легко получат доступ к информации.

Что включить в парольную политику

В парольной политике важно соблюдать баланс: с одной стороны, нужно обеспечить достаточный уровень безопасности, но с другой, избежать больших неудобств для пользователей.

Вот каких правил стоит придерживаться, когда создаете парольную политику:

• Устанавливайте разумную минимальную длину символов в пароле: хотя бы не короче 8 символов. Максимальное число символов не стоит ограничивать. Во всяком случае, оно может определяться техническими возможностями системы, но не политикой.
• Не запрещайте пользователям использовать любые подмножества символов. И задайте условие, чтобы хотя бы один символ был неалфавитный.
• Давайте пользователям обратную связь при создании пароля в процессе регистрации аккаунта. А если это технически невозможно, ознакомьте пользователя с парольной политикой заранее.
• Не обменивайтесь с пользователем паролями по незащищенным каналам — например, по электронной почте, если пароли создаются IT-отделом организации.
• Вместо парольных подсказок лучше научить сотрудников использовать парольные фразы — это комбинация слов с пробелами или без. Они длиннее, чем набор случайных символов, но легче запоминаются сотрудниками. Важно, чтобы фразы были достаточно сложными, чтобы обеспечить надежную защиту.
• Менять пароль нужно сразу же, как только появились признаки его компрометации, пользователь уволился или произошла смена ролей пользователей. Если обязать сотрудников менять пароли каждые несколько дней, то это может привести к таким действиям, как добавление символа в конец уже имеющегося пароля или замене одной цифры.
• При этом можно прописать в парольной политике смену пароля в разумные сроки, например, раз в полгода или год. Так нагрузка на пользователя будет минимальной, но и пароль будет обновляться регулярно.

И еще пару слов о том, как повысить безопасность паролей в организации:

• Используйте индикаторы надежности пароля. Хоть это и не гарантирует полную безопасность, но помогает ее повысить, а также облегчает пользователю создание комбинации.
• Установите менеджер паролей. Пароли, которые создаются с его помощью, более надежны, чем придуманные сотрудниками. Кроме того, им не нужно запоминать комбинации, так как они хранятся в менеджере.
• По возможности используйте двухфакторную аутентификацию, когда сотруднику, чтобы войти в систему, нужно предъявлять два доказательства (фактора). Например, пароль и код из смс-сообщения. Как правило, взломщику получить доступ к двум факторам сложнее.
• Применяйте современные решения для комплексной ИБ.