Día de cambio de contraseña, oficina en Ensk, reconstrucción, colorSi este artículo no hizo una brecha en el continuo espacio-tiempo, entonces en el patio es 2018, y en la mayoría de las organizaciones grandes, las contraseñas aún se cambian cada 30-90 días. El tema del hecho de que el cambio de contraseña constante forzado solo reduce la seguridad, pero no la aumenta en absoluto, se ha planteado en el Habré muchas veces (
1 ,
2 ,
3 ), pero en ellos, generalmente se discutieron casos particulares, y en los comentarios los usuarios compartieron activamente sus experiencias, cómo protegen sus propias cuentas.
El hecho de que un montón de tokens KeePass + condicionales rociados con autenticación de dos factores es mucho más confiable que un cambio de contraseña condicional cada 30-90 días es comprensible sin explicación. Pero como uno de los comentaristas en publicaciones anteriores señaló acertadamente, a menudo la iniciativa para tales medidas "efectivas" proviene de la parte superior de la organización, y discutir con el CEO sin argumentos valiosos es más costoso. Por lo tanto, decidí intentar expandirme de manera accesible, donde crecen las piernas de una práctica tan extendida y al mismo tiempo ineficaz, qué alternativas existen para ellos y con qué están asociados. Quizás después de leer este artículo de algunos ejecutivos, trabajar en empresas individuales mejorará un poco.
¿Por qué es peligroso cambiar las contraseñas regularmente?
La contraseña en sí es una medida de seguridad que no es muy resistente a las grietas. Es por eso que ahora en el mercado hay numerosos medios de autenticación de dos o incluso tres factores, varios tokens, unidades flash y otros trucos que fortalecen el perímetro y reducen la probabilidad de piratear y obtener acceso a datos o cuentas confidenciales. Se supone que uno de los métodos de propaganda para "fortalecer" este mismo perímetro es cambiar regularmente la contraseña del usuario, lo que, en teoría, debería proteger contra un ataque debido al drenaje de la base de datos, etc. Todas estas recomendaciones omiten, en primer lugar, el efecto de la estandarización, que
describí en detalle hace varios años.
En resumen: un cambio forzado constante de contraseñas lleva a que una persona desarrolle una plantilla no solo para recordar la contraseña actual, sino también para generarla, que fue descrita en un
artículo científico por investigadores estadounidenses en 2010.
En lugar de recordar sin cesar "contraseñas seguras con un registro variable y caracteres especiales", los usuarios comienzan a escribirlas trilladamente o usar patrones. Y es imposible asignar un guardia a cada empleado que verifica la unicidad de cada nueva contraseña.
Cómo los ejecutivos aprenden sobre los cambios de contraseña
Si atormenta un poco el motor de búsqueda, puede encontrar muchas publicaciones e incluso documentos oficiales sobre el tema de la seguridad de la información. Algunos de ellos huelen a bolas de naftalina, otros están un poco más despiertos y hablan sobre los peligros de los "ataques internos" y la ingeniería social durante la piratería. Todos ellos están unidos por el elemento "cambio periódico de contraseña", que a menudo comienza con palabras como "no te olvides de una manera tan simple y efectiva".
Para no ser infundado, daré un par de ejemplos de cómo en la literatura nacional (¡incluida la educativa!) Y en los artículos se recomienda usar un cambio periódico de contraseñas:
Esta es una captura de pantalla del CMD sobre seguridad de la información edición 2008. En él, los autores reconocen la debilidad de la contraseña como un medio de protección y piden seguridad de la información a través de cambios forzados regulares y una serie de medidas menos inútiles, como los canales seguros de transmisión de datos, por ejemplo.
La red también ofrece una gran cantidad de seminarios pagos y capacitaciones para "gerentes y supervisores" para garantizar la seguridad de la información de la empresa. Si ignoramos el segmento de TI e imaginamos que el director o propietario de una empresa que produce, por ejemplo, bloques de silicato de gas u otros productos industriales, se ha ocupado de la seguridad de la información, lo más probable es que recopile información de fuentes abiertas o asista a uno de los seminarios de "capacitación avanzada".
No critico tales eventos de raíz, no. Por supuesto, también proporciona información útil sobre el comportamiento de la red, la restricción de los derechos de acceso, la actualización oportuna de los sistemas y la administración. Tal vez se les enseña a prescribir las reglas y construir los perímetros más simples de seguridad de la información basados en la creación de un "régimen" en la instalación. Sin embargo, se puede afirmar con 100% de certeza que nuestro mantra no amado "hacer que los empleados cambien su contraseña cada 30 días" suena regularmente en tales eventos.
Si lo piensa, puede sacar una conclusión simple: después de todo, las herramientas de administración de Windows permiten dicha política. De hecho, el cambio regular de contraseñas en la red corporativa es un estándar creado hace muchos años a partir de las bien intencionadas, que continúa existiendo por inercia. Si profundiza un poco más, puede ver que el cambio regular de contraseñas se usa ampliamente no solo para los productos de Microsoft que ofrecen esta mecánica de fábrica. La práctica de cambiar las contraseñas se ha extrapolado con éxito a otros productos, por ejemplo, al software "zoo" 1C. De hecho, los administradores de toda la CEI han estado violando el cerebro de ellos mismos y de los contadores / vendedores durante al menos una década, siguiendo las instrucciones del manual de "seguridad".
Al mismo tiempo, los expertos que instan a abandonar el cambio regular de contraseñas y la propaganda de combinaciones imposibles de recordar, qué año se ignoran con éxito. Por ejemplo, hace unos dos años
, el jefe del nuevo Centro Nacional de Ciberseguridad del Reino Unido, Martin Chiaran,
habló en contra del cambio constante de contraseñas complejas. Criticó la práctica de cambiar constantemente las contraseñas y los consejos para usar contraseñas complejas para diferentes servicios, comparándolo con la memorización mensual de un número de 600 dígitos. Según Chiaran, es mucho más seguro usar un administrador de contraseñas o una contraseña única que sea difícil de descifrar, pero que sea posible recordar.
¿Es posible convencer al liderazgo?
Formas de convencer a un líder que está lejos del mundo moderno de TI de que el cambio regular de contraseñas es un juego salvaje no es tanto.
Debe entenderse que esta práctica ha ganado tanta popularidad por dos razones:
- Esto da una falsa sensación de seguridad y cierra la cuestión de "seguridad" de las estaciones de trabajo de los empleados para el gerente.
- Es relativamente rápido y gratis.
Si desde todos los lados, en la prensa, en seminarios, etc., han estado diciendo durante décadas que cambiar una contraseña es una buena idea, se depositará en la memoria de la cabeza. Junto con el segundo punto, cuando todos los costos de implementar el "perímetro" en forma de cambio de contraseñas están limitados por el hecho de que solo necesita desconcertar a este administrador del sistema, que hará todo en un día, todo se vuelve doblemente agradable y más fácil.
Ningún gerente de empresa de mediana edad aceptará la compra de tokens u otros medios físicos para proteger las estaciones de trabajo cuando exista una alternativa gratuita en forma de cambio forzado de contraseña. El escenario obvio en este caso es uno: explicar el fracaso de tal práctica y proponer una alternativa.
¿Cuál es el peligro de los cambios regulares de contraseña?
- las contraseñas comienzan a escribirse en trozos de papel / en diarios / pegatinas adhesivas en el monitor;
- las contraseñas tienen plantillas (se cambian varios caracteres al principio o al final de la contraseña);
- las contraseñas se simplifican demasiado, incluso con un límite mínimo de caracteres.
Puede sentir que todas las principales amenazas creadas por el cambio regular de contraseña están relacionadas con la violación interna de la seguridad de la información y el perímetro, es decir, se encuentran en el plano de la ingeniería social. Un pirata informático remoto de Nigeria nunca espía una contraseña escrita en una hoja de papel y escondida debajo de un teclado. Pero un empleado de un competidor que entró accidentalmente o un destructor de un equipo, fácilmente.
La única alternativa real para garantizar la seguridad del perímetro interno es el uso del principio de "una estación - una persona", consultoría en línea y apoyo del personal en caso de bloquear la estación de trabajo por tiempo de espera, crear políticas de acceso dentro de la propia red e introducir la responsabilidad de la divulgación / transferencia de la contraseña de la cuenta. Este último se adapta muy bien a la moda de los últimos años por cualquier motivo para firmar con empleados y contratistas de NDA, por lo que debe justificarse incluso una vez.
El sector bancario como ejemplo a seguir
La mayoría de los líderes en materia de seguridad de la información dentro de la oficina tratan a los empleados como propiedad de la empresa, es decir, supuestamente no necesitan apoyo. Sin embargo, si consideramos la estructura del perímetro interno utilizando el ejemplo de seguridad de datos en forma de un "Cliente de servicio" en las estructuras bancarias, entonces todo se vuelve mucho más claro.
Piénselo: el código PIN de una tarjeta bancaria tiene solo 4 caracteres, pero nadie grita que es "demasiado corto" y fácil de descifrar. Trivial porque las tarjetas de plástico tienen un límite en el número de intentos de ingresar, además el cliente puede bloquear rápidamente su tarjeta si sospecha que hay una fuga de datos (scrimmer) o la pierde. Y los usuarios utilizan activamente estas oportunidades porque están interesados en observar las medidas de seguridad y saben que podrán realizar estas operaciones rápidamente.
Es decir, si su gerencia estaba preocupada por crear regulaciones internas y garantizar la seguridad real de la información de la compañía, entonces vale la pena transmitirle el hecho de que todos los empleados en ese momento se convierten en "clientes" del servicio de TI de la organización, que los respaldará. La mayoría de las veces, esta función recae en los administradores de sistemas, que ya garantizan el buen funcionamiento de los sistemas de TI de la organización. Y cuanto más graves sean las medidas de seguridad, mayor será el costo del personal y la infraestructura. Pero por alguna razón, es costumbre guardar silencio sobre esta simple verdad.
Entonces, ¿qué debo hacer?
Necesitamos transmitir un pensamiento simple al liderazgo: no hay seguridad de información gratuita, de forma gratuita solo puede crear la apariencia de actividad en esta dirección. En todos los demás casos, los gastos aumentarán para el personal de los administradores del sistema (si hay una brecha en el estado, entonces el tiempo de inactividad aumentará), lo que responderá rápidamente a los problemas del usuario y podrá construir un sistema competente de derechos y accesos, o requerirá la compra de tokens que emiten contraseñas temporales / por el cual se produce el acceso al sistema.
Una alternativa relativamente gratuita a lo mencionado anteriormente es solo una contraseña maestra, que el usuario puede recordar y no tiene derecho a divulgar + usar un administrador de contraseñas para acceder a software estratégico y bases de datos para la empresa.
De lo que, de hecho, hemos estado hablando durante casi una década.
PD A continuación hay encuestas para empleados de oficina. Trabajadores independientes y trabajadores remotos, absténgase por razones obvias.