В рамках рубрики Клуб специалистов мы продолжаем публикацию книги А.В.Лукацкого заблуждения и Мифы информационной безопасности
Алексей Лукацкий — менеджер по формированию бизнеса Cisco Systems
Во многих компаниях, в политике информационной безопасности большое внимание уделяется правилам и паролям их применения. Одним из таких «незыблемых» правил есть необходимая смена паролей. Как минимум, работы информационной безопасности требуют регулярной смены паролей (в промежутке от 30 до 60 дней). В более сложных случаях контролируется не только возраст пароля, но и его т.н. история (password history), запрещающая пользователям выбирать собственные ветхие, ранее уже использованные пароли.
И уж совсем параноидальные настройки совокупности защиты обязывают пользователя поменять не меньше заданного количества знаков, обеспечивая, что новый пароль значительным образом отличается от прошлого (это предотвращает, к примеру, замену пароля password1 на password2).
Сущность таких правил обязана заключаться в том, дабы затруднить преступникам подбор паролей, каковые с течением времени смогут утечь за пределы защищаемого периметра либо из головы пользователя. И последнее в полной мере возможно, учитывая требования, предъявляемые работами ИБ к собственными подопечным.
Пользователи просто не в состоянии запоминать долгие и тщетные комбинации знаков, предлагаемых в качестве паролей. В итоге пароли записываются на стикерсах либо выбираются так тривиально, что их подбор занимает всего пара мин. на простом персональном компьютере.
Совет регулярной смены паролей по сути собственной борется со следствием, а не обстоятельством. Значительно действеннее следующие меры:
- Предотвращайте применение одной учетной записи несколькими пользователями. Такое часто бывает для учетной записи администраторы совокупности. Вместо того, дабы наделять отдельных пользователей повышенными привилегиями, эксперты по защите уверены в том, что действеннее осуществлять контроль одну учетную запись, а не пара. На практике выясняется, что и пароль к таковой учетной записи не так долго осталось ждать определят все, и осознать из издания регистрации, кто же трудился с правами администратора в конкретный момент времени, нереально.
- Блокируйте неиспользуемые учетные записи. В случае если пользователь ушел в отпуск либо уволился, то нужно временно либо на постоянной базе заблокировать его учетную запись. Не должно быть обстановок, в то время, когда учетные записи существуют годами, тогда как сотрудников, прячущихся за ними, уже давно нет. Как пример могу привести личный случай – я до сих пор имею учетную запись с расширенными полномочиями на сайте компании, в которой когда-то трудился. А с момента моего увольнения прошло уже много лет.
- обучение пользователей и Повышение осведомлённости. Это самая действенная совет. Вместо того дабы быть бутылочным горлышком в совокупности защиты предприятия и пробовать затыкать собой все появляющиеся задачи, значительно действеннее возложить базисные вещи на пользователей, научив их несложным правилам использования и выбора паролей. Я о них уже писал в других мифах.
ZEITGEIST: MOVING FORWARD | OFFICIAL RELEASE | 2011
