Password Change Day, kantor di Ensk, rekonstruksi, warnaJika artikel ini tidak membuat celah dalam kontinum ruang-waktu, maka di halaman adalah 2018, dan di sebagian besar organisasi besar, kata sandi masih berubah setiap 30-90 hari. Topik fakta bahwa perubahan kata sandi paksa yang dipaksakan hanya mengurangi keamanan, tetapi tidak meningkatkannya sama sekali, telah diangkat di HabrΓ© berkali-kali (
1 ,
2 ,
3 ), tetapi di dalamnya, kasus-kasus tertentu biasanya dibahas, dan dalam komentar para pengguna secara aktif berbagi pengalaman mereka, bagaimana mereka melindungi akun mereka sendiri.
Fakta bahwa sekelompok token KeePass + bersyarat yang ditaburi dengan otentikasi dua faktor jauh lebih andal daripada perubahan kata sandi bersyarat setiap 30-90 hari, dapat dipahami tanpa penjelasan. Tetapi seperti dikatakan oleh salah satu komentator dalam publikasi masa lalu, sering kali inisiatif untuk tindakan "efektif" tersebut datang dari bagian paling atas organisasi, dan berdebat dengan CEO tanpa argumen yang layak lebih mahal. Oleh karena itu, saya memutuskan untuk mencoba menyebar dengan cara yang mudah diakses, dari tempat berkembangnya praktik yang demikian luas dan pada saat yang sama tidak efektif, alternatif apa yang ada untuk mereka dan apa yang terkait dengannya. Mungkin setelah membaca artikel ini oleh beberapa eksekutif, bekerja di masing-masing perusahaan akan menjadi sedikit lebih baik.
Mengapa berbahaya untuk mengubah kata sandi secara teratur?
Kata sandi itu sendiri adalah ukuran keamanan yang tidak sangat tahan terhadap perengkahan. Itulah sebabnya sekarang di pasar ada banyak cara otentikasi dua atau bahkan tiga faktor, berbagai token, flash drive dan trik lain yang memperkuat perimeter dan mengurangi kemungkinan peretasan dan mendapatkan akses ke data atau akun rahasia. Salah satu metode propaganda untuk "memperkuat" perimeter ini seharusnya secara teratur mengubah kata sandi pengguna, yang, secara teori, harus melindungi terhadap serangan karena pengurasan basis data dan sebagainya. Semua rekomendasi ini kehilangan, pertama-tama, pengaruh standardisasi, yang saya
jelaskan secara rinci beberapa tahun yang lalu.
Singkatnya: perubahan kata sandi yang dipaksakan terus-menerus mengarah pada pengembangan oleh seseorang dari suatu templat tidak hanya untuk mengingat kata sandi saat ini, tetapi juga untuk membuatnya, yang dijelaskan dalam
makalah ilmiah oleh para peneliti AS pada tahun 2010.
Alih-alih tanpa henti mengingat "kata sandi yang kuat dengan register variabel dan karakter khusus", pengguna mulai menuliskannya dalam basi atau menggunakan pola. Dan tidak mungkin untuk menetapkan penjaga untuk setiap karyawan yang memeriksa keunikan setiap kata sandi baru.
Bagaimana eksekutif belajar tentang perubahan kata sandi
Jika Anda menyiksa mesin pencari sedikit, Anda dapat menemukan banyak publikasi dan bahkan dokumen resmi tentang topik keamanan informasi. Beberapa dari mereka berbau seperti kapur barus, yang lain sedikit lebih terjaga dan berbicara tentang bahaya "serangan dalam" dan rekayasa sosial selama peretasan. Semuanya disatukan oleh item "perubahan kata sandi periodik", yang paling sering dimulai dengan kata-kata seperti "jangan lupa tentang cara yang sederhana dan efektif".
Agar tidak berdasar, saya akan memberikan beberapa contoh bagaimana dalam literatur domestik (termasuk pendidikan!) Dan artikel disarankan untuk menggunakan perubahan kata sandi secara berkala:
Ini adalah tangkapan layar dari CMD pada keamanan informasi edisi 2008. Di dalamnya, penulis mengakui kelemahan kata sandi sebagai sarana perlindungan dan menyerukan keamanan informasi melalui perubahan paksa secara teratur dan sejumlah tindakan yang kurang berguna, seperti saluran transmisi data yang aman, misalnya.
Jaringan ini juga menawarkan sejumlah seminar dan pelatihan berbayar untuk "manajer dan penyelia" untuk memastikan keamanan informasi perusahaan. Jika kita mengabaikan segmen IT dan membayangkan bahwa direktur atau pemilik perusahaan yang memproduksi, misalnya, blok silikat gas atau produk industri lainnya, telah menjaga keamanan informasi, maka kemungkinan besar dia akan mengumpulkan informasi dari sumber terbuka atau menghadiri salah satu seminar "pelatihan lanjutan".
Saya tidak mengkritik peristiwa semacam itu sejak awal, tidak. Tentu saja, ini juga menyediakan informasi yang berguna tentang perilaku jaringan, pembatasan hak akses, pembaruan sistem dan administrasi yang tepat waktu. Mungkin mereka diajari untuk meresepkan aturan dan membangun batas keamanan informasi yang paling sederhana berdasarkan penciptaan βrezimβ di fasilitas tersebut. Namun, dapat dinyatakan dengan kepastian 100% bahwa mantra kami yang tidak dicintai "membuat karyawan mengubah kata sandi mereka setiap 30 hari" terdengar secara teratur di acara-acara tersebut.
Jika Anda memikirkannya, Anda dapat membuat satu kesimpulan sederhana: setelah semua, alat administrasi Windows memungkinkan kebijakan semacam itu. Bahkan, perubahan reguler kata sandi dalam jaringan perusahaan adalah standar yang dibuat bertahun-tahun yang lalu dari yang bermaksud baik, yang terus ada dengan inersia. Jika Anda menggali sedikit lebih dalam, Anda dapat melihat bahwa perubahan kata sandi secara teratur digunakan secara luas tidak hanya untuk produk Microsoft yang menghasilkan mekanisme ini di luar kebiasaan. Praktik mengubah kata sandi telah berhasil diekstrapolasi ke produk lain, misalnya, ke perangkat lunak "zoo" 1C. Bahkan, administrator di seluruh CIS telah memperkosa otak mereka sendiri dan akuntan / tenaga penjualan selama setidaknya satu dekade, mengikuti instruksi manual "keamanan".
Pada saat yang sama, para ahli yang mendesak untuk meninggalkan perubahan kata sandi dan propaganda kombinasi reguler yang mustahil untuk diingat, tahun mana yang berhasil diabaikan. Misalnya, sekitar dua tahun lalu
, kepala Pusat Keamanan Siber Nasional Inggris yang baru, Martin Chiaran,
berbicara menentang perubahan terus-menerus dari kata sandi yang kompleks. Dia mengkritik praktik mengubah kata sandi yang terus-menerus dan kiat-kiat untuk menggunakan kata sandi yang rumit untuk layanan yang berbeda, membandingkannya dengan penghafalan bulanan angka 600 digit. Menurut Chiaran, jauh lebih aman untuk menggunakan pengelola kata sandi atau kata sandi tunggal yang sulit diretas, tetapi mungkin diingat.
Apakah mungkin meyakinkan pimpinan?
Cara untuk meyakinkan seorang pemimpin yang jauh dari dunia TI modern bahwa mengubah kata sandi secara teratur adalah permainan liar tidak begitu banyak.
Harus dipahami bahwa praktik ini telah mendapatkan popularitas luas karena dua alasan:
- Ini memberikan rasa aman yang salah dan menutup pertanyaan tentang βkeamananβ workstation karyawan untuk manajer.
- Ini relatif cepat dan gratis.
Jika dari semua sisi, di pers, di seminar dan sebagainya, mereka telah mengatakan selama beberapa dekade bahwa mengubah kata sandi adalah ide yang baik, itu akan disimpan dalam memori kepala. Bersama dengan poin kedua, ketika semua biaya penggunaan "perimeter" dalam bentuk mengubah kata sandi dibatasi oleh kenyataan bahwa Anda hanya perlu memecahkan administrator sistem ini, yang akan melakukan segalanya dalam satu hari, semuanya menjadi dua kali lipat menyenangkan dan lebih mudah.
Tidak ada manajer perusahaan setengah baya yang akan menyetujui pembelian token atau sarana fisik lainnya untuk melindungi stasiun kerja ketika ada alternatif gratis dalam bentuk perubahan kata sandi paksa. Skenario yang jelas dalam kasus ini adalah satu: untuk menjelaskan kegagalan praktik semacam itu dan mengusulkan alternatif.
Apa bahaya dari perubahan kata sandi reguler:
- kata sandi mulai ditulis di selembar kertas / di diary / menempel stiker di monitor;
- kata sandi templated (beberapa karakter diubah di awal atau akhir kata sandi);
- kata sandi disederhanakan terlalu banyak, bahkan dengan batas karakter minimal.
Anda dapat merasakan bahwa semua ancaman utama yang diciptakan oleh perubahan kata sandi reguler terkait dengan pelanggaran internal keamanan informasi dan perimeter, yaitu, mereka berada di bidang rekayasa sosial. Seorang peretas jarak jauh dari Nigeria tidak akan pernah memata-matai kata sandi yang ditulis di selembar kertas dan disembunyikan di bawah keyboard. Tetapi seorang karyawan pesaing yang secara tidak sengaja masuk atau merusak sebuah tim - dengan mudah.
Satu-satunya alternatif nyata untuk memastikan keamanan perimeter internal adalah penggunaan prinsip "satu stasiun - satu orang", konsultasi on-line dan dukungan staf jika memblokir stasiun kerja karena batas waktu, membangun kebijakan akses dalam jaringan itu sendiri dan memperkenalkan tanggung jawab untuk pengungkapan / transfer kata sandi akun. Yang terakhir sangat cocok dengan mode tahun-tahun terakhir dengan alasan apapun untuk masuk dengan karyawan dan kontraktor NDA, jadi biarkan dibenarkan sekali saja.
Sektor perbankan sebagai contoh untuk diikuti
Sebagian besar pemimpin dalam hal keamanan informasi di dalam kantor memperlakukan karyawan sebagai milik perusahaan, yaitu, mereka seharusnya tidak memerlukan dukungan. Namun, jika kita mempertimbangkan struktur perimeter internal menggunakan contoh keamanan data dalam bentuk "Layanan-Klien" dalam struktur perbankan, maka semuanya menjadi jauh lebih jelas.
Pikirkan tentang hal ini: kode PIN dari kartu bank hanya 4 karakter, tetapi tidak ada yang berteriak bahwa itu "terlalu pendek" dan mudah retak. Basi karena kartu plastik memiliki batas pada jumlah upaya untuk masuk, ditambah klien dapat dengan cepat memblokir kartunya jika ia menduga ada kebocoran data (scrimmer) atau kehilangan kartu. Dan pengguna secara aktif menggunakan peluang ini karena mereka tertarik untuk mengamati langkah-langkah keamanan dan tahu bahwa mereka akan dapat dengan cepat melakukan operasi ini.
Artinya, jika manajemen Anda khawatir tentang membuat peraturan internal dan memastikan keamanan informasi nyata bagi perusahaan, maka ada baiknya menyampaikan fakta bahwa semua karyawan pada saat itu menjadi "pelanggan" dari layanan TI organisasi, yang akan mendukung mereka. Paling sering, peran ini ada pada administrator sistem, yang sudah memastikan kelancaran fungsi sistem TI organisasi. Dan semakin serius langkah-langkah keamanan, semakin besar biaya staf dan infrastruktur. Tetapi untuk beberapa alasan adalah kebiasaan untuk tetap diam tentang kebenaran sederhana ini.
Jadi apa yang harus saya lakukan?
Kita perlu menyampaikan satu pemikiran sederhana kepada pimpinan: tidak ada keamanan informasi gratis, gratis Anda hanya dapat menciptakan tampilan aktivitas dalam arah ini. Dalam semua kasus lain, biaya meningkat baik untuk staf administrator sistem (jika ada kesenjangan di negara bagian, maka downtime akan meningkat), yang akan dengan cepat menanggapi masalah pengguna dan akan dapat membangun sistem hak dan akses yang kompeten, atau mengharuskan pembelian token yang mengeluarkan kata sandi sementara / dimana akses ke sistem terjadi.
Alternatif yang relatif bebas untuk yang disebutkan di atas adalah hanya kata sandi utama, yang dapat diingat pengguna dan tidak memiliki hak untuk membocorkan + menggunakan pengelola kata sandi untuk mengakses perangkat lunak dan basis data strategis bagi perusahaan.
Sebenarnya, apa yang telah kita bicarakan selama hampir satu dekade sekarang.
PS Di bawah ini adalah polling untuk pekerja kantor. Pekerja lepas dan pekerja jarak jauh, harap jangan menggunakan alasan yang jelas.