Jour de changement de mot de passe, bureau à Ensk, reconstruction, couleurSi cet article n'a pas fait de lacune dans le continuum espace-temps, alors dans la cour est 2018, et dans la plupart des grandes organisations, les mots de passe sont toujours changés tous les 30 à 90 jours. Le sujet du fait que le changement de mot de passe constant forcé ne fait que réduire la sécurité, mais ne l'augmente pas du tout, a été soulevé à plusieurs reprises sur Habré (
1 ,
2 ,
3 ), mais dans ces cas, des cas particuliers ont généralement été discutés et, dans les commentaires, les utilisateurs ont activement partagé leurs expériences, comment ils protègent leurs propres comptes.
Le fait qu'un tas de jetons KeePass + conditionnels saupoudrés d'une authentification à deux facteurs soit beaucoup plus fiable qu'un changement conditionnel de mots de passe tous les 30 à 90 jours est compréhensible sans explication. Mais comme l'un des commentateurs des publications antérieures l'a noté avec justesse, souvent l'initiative de telles mesures «efficaces» vient du sommet de l'organisation, et discuter avec le PDG sans arguments valables est plus cher. Par conséquent, j'ai décidé d'essayer de m'étendre de manière accessible, à partir de là où poussent les jambes d'une pratique aussi répandue et en même temps inefficace, quelles alternatives existent pour eux et à quoi elles sont associées. Peut-être qu'après avoir lu cet article par certains dirigeants, travailler dans des entreprises individuelles deviendra un peu mieux.
Pourquoi est-il dangereux de changer régulièrement de mot de passe?
Le mot de passe lui-même est une mesure de sécurité peu résistante au cracking. C'est pourquoi il existe désormais sur le marché de nombreux moyens d'authentification à deux ou même à trois facteurs, divers jetons, clés USB et autres astuces qui renforcent le périmètre et réduisent les risques de piratage et d'accès à des données ou comptes confidentiels. L'une des méthodes de propagande pour «renforcer» ce périmètre même est censée changer régulièrement le mot de passe de l'utilisateur, ce qui, en théorie, devrait protéger contre une attaque due à un drain de base de données, etc. Toutes ces recommandations manquent, tout d'abord, l'effet de la normalisation, que j'ai
décrit en détail il y a plusieurs années.
En bref: un changement forcé constant de mots de passe conduit au développement par une personne d'un modèle non seulement pour mémoriser le mot de passe actuel, mais aussi pour le générer, ce qui a été décrit dans un
article scientifique par des chercheurs américains en 2010.
Au lieu de se souvenir sans cesse de «mots de passe forts avec un registre variable et des caractères spéciaux», les utilisateurs commencent à les écrire de façon banale ou à utiliser des modèles. Et il est impossible d’assigner un gardien à chaque employé qui vérifie le caractère unique de chaque nouveau mot de passe.
Comment les dirigeants apprennent les changements de mot de passe
Si vous tourmentez un peu le moteur de recherche, vous trouverez de nombreuses publications et même des documents officiels sur le thème de la sécurité de l'information. Certains d'entre eux sentent les boules de naphtaline, d'autres sont un peu plus éveillés et parlent des dangers des «attaques internes» et de l'ingénierie sociale lors du piratage. Tous sont unis par l'élément «changement périodique de mot de passe», qui commence le plus souvent par des mots comme «n'oubliez pas une manière aussi simple et efficace».
Afin de ne pas être infondé, je vais donner quelques exemples de la façon dont dans la littérature nationale (y compris pédagogique!) Et les articles, il est recommandé d'utiliser un changement périodique de mots de passe:
Il s'agit d'une capture d'écran du CMD sur l'édition 2008 de la sécurité des informations. Dans ce document, les auteurs reconnaissent la faiblesse du mot de passe comme moyen de protection et appellent à la sécurité des informations par le biais de changements forcés réguliers et d'un certain nombre de mesures moins inutiles, telles que des canaux de transmission de données sécurisés, par exemple.
Le réseau propose également une masse de séminaires et de formations rémunérés pour les «managers et superviseurs» afin d'assurer la sécurité des informations de l'entreprise. Si nous nous désengageons du secteur informatique et imaginons que le directeur ou le propriétaire d'une entreprise produisant, par exemple, des blocs de silicate de gaz ou d'autres produits industriels a pris soin de la technologie de l'information, il est fort probable qu'il recueille des informations à partir de sources ouvertes ou participe à l'un des séminaires de `` formation avancée ''.
Je ne critique pas de tels événements dans l'œuf, non. Bien sûr, il fournit également des informations utiles sur le comportement du réseau, la restriction des droits d'accès, la mise à jour rapide des systèmes et l'administration. Peut-être qu'on leur apprend à prescrire les règles et à construire les périmètres les plus simples de sécurité de l'information sur la base de la création d'un «régime» dans l'établissement. Cependant, on peut affirmer avec une certitude à 100% que notre mantra mal aimé «obliger les employés à changer leur mot de passe tous les 30 jours» résonne régulièrement lors de tels événements.
Si vous y réfléchissez, vous pouvez tirer une conclusion simple: après tout, les outils d'administration Windows autorisent une telle politique. En fait, le changement régulier de mots de passe dans le réseau d'entreprise est une norme créée il y a de nombreuses années à partir de mots bien intentionnés, qui continue d'exister par inertie. Si vous creusez un peu plus loin, vous pouvez voir que le changement régulier de mots de passe est largement utilisé non seulement pour les produits Microsoft qui fournissent cette mécanique hors de la boîte. La pratique du changement de mot de passe a été extrapolée avec succès à d'autres produits, par exemple au logiciel «zoo» 1C. En fait, les administrateurs de toute la CEI ont violé leur cerveau et les comptables / vendeurs pendant au moins une décennie, en suivant les instructions du manuel "sécurité".
Dans le même temps, les experts qui appellent à abandonner le changement régulier de mots de passe et la propagande de combinaisons impossibles à retenir, quelle année sont ignorés avec succès. Par exemple, il y a environ deux ans
, le chef du nouveau UK National Cybersecurity Centre, Martin Chiaran,
s'est prononcé contre le changement constant de mots de passe complexes. Il a critiqué la pratique consistant à changer constamment les mots de passe et les conseils d'utilisation de mots de passe complexes pour différents services, en les comparant à la mémorisation mensuelle d'un numéro à 600 chiffres. Selon Chiaran, il est beaucoup plus sûr d'utiliser soit un gestionnaire de mots de passe, soit un seul mot de passe difficile à déchiffrer, mais possible à retenir.
Est-il possible de convaincre les dirigeants?
Façons de convaincre un leader qui est loin du monde moderne de l'informatique que le changement de mot de passe est un jeu sauvage n'est pas tellement.
Il faut comprendre que cette pratique a acquis une telle popularité pour deux raisons:
- Cela donne un faux sentiment de sécurité et ferme la question de la «sécurité» des postes de travail des employés pour le gestionnaire.
- C'est relativement rapide et gratuit.
Si de tous les côtés, dans la presse, lors de séminaires, etc., ils disent depuis des décennies que changer un mot de passe est une bonne idée, il sera déposé dans la mémoire de la tête. Conjointement avec le deuxième point, lorsque tous les coûts de déploiement du «périmètre» sous forme de changement de mots de passe sont limités par le fait que vous n'avez qu'à faire réfléchir cet administrateur système, qui fera tout en une journée, tout devient doublement agréable et plus facile.
Aucun chef d'entreprise d'âge moyen n'acceptera l'achat de jetons ou d'autres moyens physiques de protéger les postes de travail lorsqu'il existe une alternative gratuite sous la forme d'un changement de mot de passe forcé. Le scénario évident dans ce cas en est un: expliquer l'échec d'une telle pratique et proposer une alternative.
Quel est le danger des changements de mot de passe réguliers:
- les mots de passe commencent à être écrits sur des morceaux de papier / dans des journaux intimes / collant des autocollants sur le moniteur;
- les mots de passe sont modélisés (plusieurs caractères sont modifiés au début ou à la fin du mot de passe);
- les mots de passe sont trop simplifiés, même avec une limite de caractères minimale.
Vous pouvez sentir que toutes les principales menaces créées par le changement régulier de mot de passe sont liées à une violation interne de la sécurité de l'information et du périmètre, c'est-à-dire qu'elles se situent dans le plan de l'ingénierie sociale. Un pirate à distance du Nigéria n'espionnera jamais un mot de passe écrit sur une feuille de papier et caché sous un clavier. Mais un employé d'un concurrent qui est entré accidentellement ou un démolisseur d'une équipe - facilement.
La seule véritable alternative pour assurer la sécurité du périmètre interne est l'utilisation du principe de `` une station - une personne '', des conseils en ligne et un soutien du personnel en cas de blocage du poste de travail par timeout, l'élaboration de politiques d'accès au sein du réseau lui-même et l'introduction de la responsabilité de la divulgation / transfert du mot de passe du compte. Ce dernier s'inscrit très bien dans la mode des dernières années pour n'importe quelle raison de signer avec les employés et les entrepreneurs de la NDA, alors laissez-le se justifier même une fois.
Le secteur bancaire comme exemple à suivre
La plupart des dirigeants en matière de sécurité de l'information au sein du bureau traitent les employés comme la propriété de l'entreprise, c'est-à-dire qu'ils n'ont censément pas besoin de soutien. Cependant, si l'on considère la structure du périmètre interne en utilisant l'exemple de la sécurité des données sous la forme d'un «Service-Client» dans les structures bancaires, alors tout devient beaucoup plus clair.
Pensez-y: le code PIN d'une carte bancaire ne comporte que 4 caractères, mais personne ne crie qu'il est «trop court» et facile à déchiffrer. Trite parce que les cartes en plastique ont une limite sur le nombre de tentatives d'entrée, et le client peut rapidement bloquer sa carte s'il soupçonne une fuite de données (scrimmer) ou a perdu la carte. Et les utilisateurs utilisent activement ces opportunités car ils souhaitent observer les mesures de sécurité et savent qu'ils seront en mesure d'effectuer rapidement ces opérations.
Autrement dit, si votre direction était soucieuse de créer un règlement intérieur et d'assurer une réelle sécurité des informations de l'entreprise, alors il vaut la peine de lui faire comprendre que tous les employés à ce moment deviennent des «clients» du service informatique de l'organisation, qui les soutiendra. Le plus souvent, ce rôle incombe aux administrateurs système, qui assurent déjà le bon fonctionnement des systèmes informatiques de l'organisation. Et plus les mesures de sécurité sont sérieuses, plus le coût du personnel et des infrastructures est élevé. Mais pour une raison quelconque, il est habituel de garder le silence sur cette simple vérité.
Alors, que dois-je faire?
Nous devons transmettre une pensée simple aux dirigeants: il n'y a pas de sécurité de l'information gratuite, gratuitement vous ne pouvez que créer l'apparence d'une activité dans ce sens. Dans tous les autres cas, les dépenses augmenteront soit pour le personnel des administrateurs système (s'il y a un écart dans l'État, alors les temps d'arrêt augmenteront), ce qui répondra rapidement aux problèmes des utilisateurs et pourra construire un système compétent de droits et d'accès, ou nécessitera l'achat de jetons qui délivrent des mots de passe temporaires / par lequel l'accès au système se produit.
Une alternative relativement gratuite à ce qui précède n'est qu'un mot de passe maître, dont l'utilisateur peut se souvenir et n'a pas le droit de divulguer + d'utiliser un gestionnaire de mots de passe pour accéder aux logiciels et bases de données stratégiques de l'entreprise.
De quoi, en fait, nous parlons depuis près d'une décennie maintenant.
PS Ci-dessous, les sondages pour les employés de bureau. Indépendants et travailleurs à distance, veuillez vous abstenir pour des raisons évidentes.