Password Change Day, escritório em Ensk, reconstrução, corSe este artigo não fez uma lacuna no continuum espaço-tempo, o quintal é 2018 e, na maioria das grandes organizações, as senhas ainda são alteradas a cada 30 a 90 dias. O tópico do fato de que a alteração forçada de senha constante apenas reduz a segurança, mas não a aumenta, já foi abordada muitas vezes no Habré (
1 ,
2 ,
3 ), mas neles casos específicos eram geralmente discutidos e nos comentários que os usuários compartilhavam ativamente de suas experiências, como eles protegem suas próprias contas.
O fato de um monte de tokens condicionais KeePass + polvilhados com autenticação de dois fatores é muito mais confiável do que uma alteração condicional de senhas a cada 30 a 90 dias, é compreensível sem explicação. Mas, como comentou apropriadamente um dos comentaristas de publicações anteriores, muitas vezes a iniciativa para essas medidas "eficazes" vem do topo da organização e discutir com o CEO sem argumentos dignos é mais caro. Decidi, portanto, tentar expandir de maneira acessível, onde crescem as pernas de uma prática tão difundida e ao mesmo tempo ineficaz, que alternativas existem para elas e a que estão associadas. Talvez depois de ler este artigo por alguns executivos, trabalhar em empresas individuais se torne um pouco melhor.
Por que é perigoso alterar senhas regularmente?
A senha em si é uma medida de segurança que não é muito resistente a rachaduras. É por isso que agora no mercado existem vários meios de autenticação de dois ou até três fatores, vários tokens, pen drives e outros truques que fortalecem o perímetro e reduzem a probabilidade de hackers e o acesso a dados ou contas confidenciais. Um dos métodos de propaganda para "fortalecer" esse perímetro é supostamente alterar regularmente a senha do usuário, o que, em teoria, deve proteger contra um ataque devido a uma drenagem do banco de dados e assim por diante. Todas essas recomendações perdem, em primeiro lugar, o efeito da padronização, que
descrevi em detalhes há vários anos.
Em resumo: uma constante mudança forçada de senhas leva ao desenvolvimento de um modelo por uma pessoa, não apenas para lembrar a senha atual, mas também para gerá-la, descrita em um
artigo científico de pesquisadores norte-americanos em 2010.
Em vez de se lembrar incessantemente de “senhas fortes com um registro variável e caracteres especiais”, os usuários começam a escrevê-las em banalidades ou a usar padrões. E é impossível atribuir uma proteção a todos os funcionários que verificam a exclusividade de cada nova senha.
Como os executivos aprendem sobre alterações de senha
Se você atormentar um pouco o mecanismo de pesquisa, poderá encontrar muitas publicações e até documentos oficiais sobre o tema segurança da informação. Alguns deles cheiram a naftalina, outros estão um pouco mais acordados e falam sobre os perigos de "ataques internos" e engenharia social durante o hacking. Todos eles são unidos pelo item “alteração periódica de senha”, que geralmente começa com palavras como “não se esqueça de uma maneira tão simples e eficaz”.
Para não ser infundado, darei alguns exemplos de como na literatura nacional (incluindo educacional!) E nos artigos é recomendável usar uma alteração periódica de senhas:
Esta é uma captura de tela do CMD na edição de segurança da informação 2008. Nele, os autores reconhecem a fraqueza da senha como um meio de proteção e pedem segurança da informação por meio de alterações forçadas regulares e várias medidas menos inúteis, como canais seguros de transmissão de dados, por exemplo.
A rede também oferece uma série de seminários e treinamentos pagos para "gerentes e supervisores" para garantir a segurança das informações da empresa. Se ignorarmos o segmento de TI e imaginarmos que o diretor ou proprietário de uma empresa que produz, por exemplo, blocos de silicato de gás ou outros produtos industriais, cuidou da segurança da informação, provavelmente ele coletará informações de fontes abertas ou participará de um dos seminários de "treinamento avançado".
Eu não critico esses eventos pela raiz, não. Obviamente, ele também fornece informações úteis sobre o comportamento da rede, restrição de direitos de acesso, atualização oportuna de sistemas e administração. Talvez eles sejam ensinados a prescrever as regras e construir os perímetros mais simples de segurança da informação com base na criação de um “regime” nas instalações. No entanto, pode-se afirmar com 100% de certeza que nosso mantra não amado "faz os funcionários mudarem sua senha a cada 30 dias" soa regularmente nesses eventos.
Se você pensar bem, pode fazer uma conclusão simples: afinal, as ferramentas de administração do Windows permitem essa política. De fato, a troca regular de senhas na rede corporativa é um padrão criado há muitos anos a partir de senhas bem-intencionadas, que continuam a existir por inércia. Se você se aprofundar um pouco mais, poderá ver que a alteração regular de senhas é amplamente usada, não apenas nos produtos da Microsoft que fornecem essa mecânica pronta para uso. A prática de alterar senhas foi extrapolada com sucesso para outros produtos, por exemplo, para o software "zoo" 1C. De fato, os administradores de toda a CEI estupram seus cérebros e seus contadores / vendedores há pelo menos uma década, seguindo as instruções do manual de "segurança".
Ao mesmo tempo, especialistas que desejam abandonar a mudança regular de senhas e propaganda de combinações são impossíveis de lembrar, ano em que são ignorados com sucesso. Por exemplo, há cerca de dois anos
, o chefe do novo Centro Nacional de Cibersegurança do Reino Unido, Martin Chiaran,
falou contra a constante mudança de senhas complexas. Ele criticou a prática de alterar constantemente as senhas e as dicas para o uso de senhas complexas em diferentes serviços, comparando isso com a memorização mensal de um número de 600 dígitos. Segundo Chiaran, é muito mais seguro usar um gerenciador de senhas ou uma única senha difícil de decifrar, mas possível de lembrar.
É possível convencer a liderança?
Maneiras de convencer um líder que está longe do mundo moderno da TI de que a troca regular de senhas é um jogo selvagem não é tanto.
Deve-se entender que essa prática ganhou tanta popularidade por dois motivos:
- Isso dá uma falsa sensação de segurança e fecha a questão da "segurança" das estações de trabalho dos funcionários para o gerente.
- É relativamente rápido e gratuito.
Se por todos os lados, na imprensa, em seminários e assim por diante, eles dizem há décadas que mudar uma senha é uma boa idéia, ela será depositada na memória do chefe. Juntamente com o segundo ponto, quando todos os custos de implantação do “perímetro” na forma de alteração de senhas são limitados pelo fato de que você só precisa confundir esse administrador de sistema, que fará tudo em um dia, tudo se tornará duplamente agradável e fácil.
Nenhum gerente de empresa de meia-idade concordará com a compra de tokens ou outros meios físicos de proteção das estações de trabalho quando houver uma alternativa gratuita na forma de alteração forçada da senha. O cenário óbvio nesse caso é o seguinte: explicar o fracasso de tal prática e propor uma alternativa.
Qual é o perigo de alterações regulares de senha:
- as senhas começam a ser escritas em pedaços de papel / em diários / colando adesivos no monitor;
- as senhas são modeladas (vários caracteres são alterados no início ou no final da senha);
- as senhas são muito simplificadas, mesmo com um limite mínimo de caracteres.
Você pode sentir que todas as principais ameaças criadas pela mudança regular de senha estão relacionadas à violação interna da segurança das informações e ao perímetro, ou seja, elas estão no plano da engenharia social. Um hacker remoto da Nigéria nunca espia uma senha escrita em um pedaço de papel e escondida sob um teclado. Mas um funcionário de um concorrente que acidentalmente entrou ou um destruidor de uma equipe - facilmente.
A única alternativa real para garantir a segurança do perímetro interno é o uso do princípio de "uma estação - uma pessoa", consultoria on-line e suporte da equipe em caso de bloqueio da estação de trabalho por tempo limite, criando políticas de acesso dentro da própria rede e introduzindo a responsabilidade pela divulgação / transferência da senha da conta. Este último se encaixa muito bem na moda dos últimos anos, por qualquer motivo, para assinar com funcionários e contratados da NDA, de modo que seja justificado pelo menos uma vez.
O setor bancário como exemplo a seguir
A maioria dos líderes em questões de segurança da informação dentro do escritório trata os funcionários como propriedade da empresa, ou seja, eles supostamente não precisam de suporte. No entanto, se considerarmos a estrutura do perímetro interno usando o exemplo de segurança de dados na forma de um "Cliente de Serviço" nas estruturas bancárias, tudo ficará muito mais claro.
Pense bem: o código PIN de um cartão bancário tem apenas 4 caracteres, mas ninguém grita que é "muito curto" e fácil de decifrar. É banal porque os cartões de plástico têm um limite para o número de tentativas de entrada, e o cliente pode bloquear rapidamente o cartão se suspeitar de um vazamento de dados (scrimmer) ou perder o cartão. E os usuários usam ativamente essas oportunidades porque estão interessados em observar as medidas de segurança e sabem que poderão executar rapidamente essas operações.
Ou seja, se sua gerência está preocupada em criar regulamentos internos e garantir segurança real das informações para a empresa, vale a pena transmitir a ela o fato de que todos os funcionários naquele momento se tornam "clientes" do serviço de TI da organização, que os apoiará. Na maioria das vezes, essa função cabe aos administradores de sistemas, que já garantem o bom funcionamento dos sistemas de TI da organização. E quanto mais sérias forem as medidas de segurança, maior será o custo da equipe e da infraestrutura. Mas, por alguma razão, é costume ficar calado sobre essa simples verdade.
Então o que devo fazer?
Precisamos transmitir um pensamento simples à liderança: não há segurança de informações gratuita; de graça, você só pode criar a aparência de atividade nessa direção. Em todos os outros casos, os custos aumentam para a equipe de administradores de sistema (se houver uma lacuna no estado, o tempo de inatividade aumentará), o que responderá rapidamente a problemas do usuário e poderá criar um sistema competente de direitos e acessos ou exigir a compra de tokens que emitem senhas temporárias / pelo qual o acesso ao sistema ocorre.
Uma alternativa relativamente gratuita à mencionada acima é apenas uma senha mestra, da qual o usuário pode se lembrar e não tem o direito de divulgar + usar um gerenciador de senhas para acessar softwares e bancos de dados estratégicos da empresa.
Do que, de fato, falamos há quase uma década.
PS Abaixo estão as pesquisas para trabalhadores de escritório. Freelancers e trabalhadores remotos, abster-se por razões óbvias.