Tag der Passwortänderung, Büro in Ensk, Wiederaufbau, FarbeWenn dieser Artikel keine Lücke im Raum-Zeit-Kontinuum geschlossen hat, dann ist 2018 auf dem Hof, und in den meisten großen Organisationen werden die Passwörter immer noch alle 30-90 Tage geändert. Das Thema der Tatsache, dass eine erzwungene ständige Kennwortänderung die Sicherheit nur verringert, aber überhaupt nicht erhöht, wurde im Habré mehrfach angesprochen (
1 ,
2 ,
3 ). In diesen Fällen wurden jedoch in der Regel bestimmte Fälle erörtert, und in den Kommentaren teilten die Benutzer aktiv ihre Erfahrungen mit. wie sie ihre eigenen Konten schützen.
Die Tatsache, dass eine Reihe von bedingten KeePass + -Token mit Zwei-Faktor-Authentifizierung viel zuverlässiger ist als eine bedingte Kennwortänderung alle 30 bis 90 Tage, ist ohne Erklärung verständlich. Aber wie einer der Kommentatoren in früheren Veröffentlichungen treffend bemerkte, kommt die Initiative für solche „wirksamen“ Maßnahmen häufig von der Spitze der Organisation, und es ist teurer, mit dem CEO ohne würdige Argumente zu streiten. Deshalb habe ich mich entschlossen zu versuchen, mich auf zugängliche Weise auszubreiten, von wo aus die Beine einer so weit verbreiteten und gleichzeitig ineffektiven Praxis wachsen, welche Alternativen für sie existieren und womit sie verbunden sind. Vielleicht wird die Arbeit in einzelnen Unternehmen nach dem Lesen dieses Artikels durch einige Führungskräfte etwas besser.
Warum ist es gefährlich, Passwörter regelmäßig zu ändern?
Das Passwort selbst ist eine Sicherheitsmaßnahme, die nicht sehr knackresistent ist. Aus diesem Grund gibt es derzeit auf dem Markt zahlreiche Möglichkeiten zur Zwei- oder sogar Drei-Faktor-Authentifizierung, verschiedene Token, Flash-Laufwerke und andere Tricks, die den Perimeter stärken und die Wahrscheinlichkeit von Hacking und Zugriff auf vertrauliche Daten oder Konten verringern. Eine der Propagandamethoden zur „Stärkung“ dieses Bereichs soll darin bestehen, das Kennwort des Benutzers regelmäßig zu ändern, was theoretisch vor einem Angriff aufgrund eines Datenbankabflusses usw. schützen sollte. Bei all diesen Empfehlungen fehlt vor allem der Effekt der Standardisierung, den ich vor einigen Jahren ausführlich
beschrieben habe.
Kurz gesagt: Eine ständige erzwungene Änderung von Passwörtern führt dazu, dass eine Person eine Vorlage entwickelt, um sich das aktuelle Passwort nicht nur zu merken, sondern es auch zu generieren, was bereits 2010 in einem
wissenschaftlichen Artikel
von US-Forschern beschrieben wurde.
Anstatt sich endlos an „sichere Passwörter mit einem variablen Register und Sonderzeichen“ zu erinnern, beginnen Benutzer, diese in einem banalen oder notierten Muster aufzuschreiben. Und es ist unmöglich, jedem Mitarbeiter, der die Eindeutigkeit jedes neuen Passworts überprüft, einen Schutz zuzuweisen.
Wie Führungskräfte von Kennwortänderungen erfahren
Wenn Sie die Suchmaschine ein wenig quälen, finden Sie viele Veröffentlichungen und sogar offizielle Dokumente zum Thema Informationssicherheit. Einige von ihnen riechen nach Mottenkugeln, andere sind etwas wacher und sprechen über die Gefahren von „Insider-Angriffen“ und Social Engineering beim Hacken. Alle von ihnen sind durch den Punkt „Regelmäßige Passwortänderung“ verbunden, der meistens mit Worten wie „Vergiss so einfach und effektiv nicht“ beginnt.
Um nicht unbegründet zu sein, werde ich einige Beispiele dafür geben, wie in der heimischen Literatur (einschließlich pädagogischer!) Und Artikel empfohlen wird, eine regelmäßige Änderung der Passwörter zu verwenden:
Dies ist ein Screenshot der CMD zur Informationssicherheit 2008. Darin erkennen die Autoren die Schwäche des Passworts als Mittel zum Schutz an und fordern Informationssicherheit durch regelmäßige erzwungene Änderungen und eine Reihe weniger nutzloser Maßnahmen, wie zum Beispiel sichere Datenübertragungskanäle.
Das Netzwerk bietet auch eine Vielzahl von bezahlten Seminaren und Schulungen für "Manager und Vorgesetzte" an, um die Informationssicherheit des Unternehmens zu gewährleisten. Wenn wir uns vom IT-Segment lösen und uns vorstellen, dass der Direktor oder Eigentümer eines Unternehmens, das beispielsweise Gassilikatblöcke oder andere Industrieprodukte herstellt, sich um die Informationstechnologie gekümmert hat, wird er höchstwahrscheinlich Informationen aus offenen Quellen sammeln oder an einem der Fortbildungsseminare teilnehmen.
Ich kritisiere solche Ereignisse nicht im Keim, nein. Natürlich bietet es auch nützliche Informationen zum Netzwerkverhalten, zur Einschränkung von Zugriffsrechten, zur rechtzeitigen Aktualisierung von Systemen und zur Verwaltung. Vielleicht wird ihnen beigebracht, die Regeln vorzuschreiben und die einfachsten Grenzen der Informationssicherheit zu schaffen, basierend auf der Schaffung eines „Regimes“ in der Einrichtung. Es kann jedoch mit 100% iger Sicherheit festgestellt werden, dass unser ungeliebtes Mantra „Mitarbeiter dazu bringen, ihr Passwort alle 30 Tage zu ändern“ bei solchen Veranstaltungen regelmäßig klingt.
Wenn Sie darüber nachdenken, können Sie eine einfache Schlussfolgerung ziehen: Schließlich erlauben Windows-Verwaltungstools eine solche Richtlinie. Tatsächlich ist die regelmäßige Änderung von Passwörtern im Unternehmensnetzwerk ein Standard, der vor vielen Jahren aus gut gemeinten Passwörtern erstellt wurde und weiterhin durch Trägheit besteht. Wenn Sie etwas tiefer gehen, können Sie feststellen, dass die regelmäßige Änderung von Kennwörtern nicht nur für Microsoft-Produkte verwendet wird, die diese Mechanik sofort bereitstellen. Die Praxis des Änderns von Passwörtern wurde erfolgreich auf andere Produkte übertragen, beispielsweise auf die "Zoo" -Software 1C. Tatsächlich vergewaltigen Administratoren in der gesamten GUS seit mindestens einem Jahrzehnt das Gehirn von sich selbst und Buchhaltern / Verkäufern gemäß den Anweisungen des "Sicherheits" -Handbuchs.
Gleichzeitig werden Experten, die darauf drängen, die regelmäßige Änderung von Passwörtern und die Propaganda von Kombinationen aufzugeben, an die man sich nicht erinnern kann, erfolgreich ignoriert. Zum Beispiel
sprach sich der Leiter des neuen britischen National Cybersecurity Centre, Martin Chiaran,
vor etwa zwei Jahren gegen die ständige Änderung komplexer Passwörter aus. Er kritisierte die Praxis, Passwörter ständig zu ändern, und die Tipps zur Verwendung komplexer Passwörter für verschiedene Dienste und verglich dies mit dem monatlichen Auswendiglernen einer 600-stelligen Nummer. Laut Chiaran ist es viel sicherer, entweder einen Passwort-Manager oder ein einzelnes Passwort zu verwenden, das schwer zu knacken, aber zu merken ist.
Ist es möglich, die Führung zu überzeugen?
Es ist nicht so sehr möglich, einen Marktführer, der weit von der modernen IT-Welt entfernt ist, davon zu überzeugen, dass das regelmäßige Ändern von Passwörtern ein wildes Spiel ist.
Es versteht sich, dass diese Praxis aus zwei Gründen so populär geworden ist:
- Dies gibt ein falsches Sicherheitsgefühl und schließt die Frage der „Sicherheit“ der Mitarbeiterarbeitsplätze für den Manager.
- Es ist relativ schnell und kostenlos.
Wenn sie von allen Seiten, in der Presse, bei Seminaren usw. seit Jahrzehnten sagen, dass das Ändern eines Passworts eine gute Idee ist, wird es im Gedächtnis des Kopfes abgelegt. Zusammen mit dem zweiten Punkt, wenn alle Kosten für die Bereitstellung des „Perimeters“ in Form von Kennwortänderungen durch die Tatsache begrenzt sind, dass Sie nur diesen Systemadministrator rätseln müssen, der alles an einem Tag erledigt, wird alles doppelt angenehm und einfacher.
Kein Unternehmensmanager mittleren Alters wird dem Kauf von Token oder anderen physischen Mitteln zum Schutz von Arbeitsstationen zustimmen, wenn es eine kostenlose Alternative in Form einer erzwungenen Kennwortänderung gibt. Das offensichtliche Szenario in diesem Fall ist eines: das Scheitern einer solchen Praxis zu erklären und eine Alternative vorzuschlagen.
Was ist die Gefahr regelmäßiger Passwortänderungen:
- Passwörter werden auf Papier / in Tagebüchern / Aufklebern auf dem Monitor geschrieben.
- Passwörter werden als Vorlage verwendet (mehrere Zeichen werden am Anfang oder Ende des Passworts geändert);
- Passwörter werden selbst bei einer minimalen Zeichenbeschränkung zu stark vereinfacht.
Sie können spüren, dass alle Hauptbedrohungen, die durch die regelmäßige Änderung des Kennworts entstehen, mit internen Verstößen gegen die Informationssicherheit und den Umfang zusammenhängen, dh auf der Ebene des Social Engineering liegen. Ein entfernter Hacker aus Nigeria wird niemals ein Passwort ausspionieren, das auf ein Stück Papier geschrieben und unter einer Tastatur versteckt ist. Aber ein Angestellter eines Konkurrenten, der versehentlich hereingekommen ist, oder ein Abschleppwagen aus einem Team - ganz einfach.
Die einzige wirkliche Alternative, um die Sicherheit des internen Perimeters zu gewährleisten, ist die Verwendung des Prinzips „eine Station - eine Person“, Online-Beratung und Mitarbeiterunterstützung bei Blockierung der Workstation durch Timeout, Erstellung von Zugriffsrichtlinien innerhalb des Netzwerks selbst und Einführung der Verantwortung für die Offenlegung / Übertragung des Kontokennworts. Letzteres passt aus jedem Grund sehr gut in die Mode der letzten Jahre, um mit NDA-Mitarbeitern und Auftragnehmern zu unterschreiben. Lassen Sie es also auch nur einmal rechtfertigen.
Der Bankensektor als Beispiel folgt
Die meisten Führungskräfte in Sachen Informationssicherheit im Büro behandeln Mitarbeiter als Eigentum des Unternehmens, das heißt, sie brauchen angeblich keine Unterstützung. Betrachtet man jedoch die Struktur des internen Perimeters am Beispiel der Datensicherheit in Form eines „Service-Client“ in Bankstrukturen, so wird alles viel klarer.
Denken Sie darüber nach: Der PIN-Code einer Bankkarte besteht nur aus 4 Zeichen, aber niemand schreit, dass er „zu kurz“ und leicht zu knacken ist. Trite, weil Plastikkarten eine begrenzte Anzahl von Eintrittsversuchen haben und der Client seine Karte schnell blockieren kann, wenn er einen Datenverlust (Scrimmer) vermutet oder die Karte verloren hat. Benutzer nutzen diese Möglichkeiten aktiv, weil sie an der Einhaltung von Sicherheitsmaßnahmen interessiert sind und wissen, dass sie diese Vorgänge schnell ausführen können.
Das heißt, wenn Ihr Management Bedenken hinsichtlich der Schaffung interner Vorschriften und der Gewährleistung einer echten Informationssicherheit des Unternehmens hatte, lohnt es sich, ihm die Tatsache zu vermitteln, dass alle Mitarbeiter in diesem Moment „Kunden“ des IT-Service des Unternehmens werden, der sie unterstützt. Meistens liegt diese Rolle bei den Systemadministratoren, die bereits das reibungslose Funktionieren der IT-Systeme des Unternehmens sicherstellen. Und je schwerwiegender die Sicherheitsmaßnahmen sind, desto höher sind die Kosten für Personal und Infrastruktur. Aber aus irgendeinem Grund ist es üblich, über diese einfache Wahrheit zu schweigen.
Was soll ich also tun?
Wir müssen der Führung einen einfachen Gedanken vermitteln: Es gibt keine kostenlose Informationssicherheit, kostenlos können Sie nur den Anschein von Aktivität in dieser Richtung erwecken. In allen anderen Fällen steigen die Kosten entweder für das Personal der Systemadministratoren (wenn es eine Lücke im Status gibt, steigt die Ausfallzeit), was schnell auf Benutzerprobleme reagiert und in der Lage ist, ein kompetentes System von Rechten und Zugriffen aufzubauen, oder den Kauf von Token erfordert, die temporäre Kennwörter / ausgeben über die der Zugriff auf das System erfolgt.
Eine relativ kostenlose Alternative zu den oben genannten ist nur ein Hauptkennwort, an das sich der Benutzer erinnern kann und das kein Recht hat, einen Kennwortmanager für den Zugriff auf strategische Software und Datenbanken für das Unternehmen preiszugeben.
Worüber wir eigentlich seit fast einem Jahrzehnt sprechen.
PS Nachfolgend finden Sie Umfragen für Büroangestellte. Freiberufler und Remote-Mitarbeiter verzichten bitte aus offensichtlichen Gründen darauf.