Как выявить слабые пароли и сделать бизнес-процессы безопаснее

Немного терминологии

Начнем с экскурса по терминам — их часто путают. Между тем, термины означают совершенно разные процессы, и все они имеют непосредственное отношение к парольной защите.

Прежде всего, разберемся с термином «идентификация». Это заявление о том, кем вы являетесь, которое осуществляется пользователем при обращении к тому или иному цифровому ресурсу. Для этого используется имя пользователя, адрес электронной почты, телефон, номер учетной записи и множество других разновидностей идентификаторов.

Аутентификация — то, что происходит после идентификации. Термин обозначает предоставление доказательств того, что представившийся является собой, а не другим. Происходит от слова authentic — «истинный, подлинный». 

И вот, после того, когда вводится пароль, то есть системе отправляется код аутентификации, наступает очередь авторизации — проверки того, что предъявителю индентификатора и аутентификатора разрешен доступ к запрашиваемому ресурсу.

Все, о чем пойдет речь ниже в этой статье, будет связано именно с аутентификацией. Почему это важно? По опыту работы можем констатировать, что компании в России зачастую оказываются незнакомы с этим классом решений — даже несмотря на то, что об основной проблеме в этой сфере все они знают не понаслышке. 

А потому небольшой ликбез здесь не столько не помешает, сколько напрашивается.

Где используется аутентификация

Даже обычный пользователь сталкивается с аутентификацией несколько раз в течение дня. С ее помощью он получает доступ к персональным устройствам, системам и сервисам, которые он пользуется.

ИТ-администраторы, кроме того, проходят аутентификацию для доступа к серверным ресурсам и внутренним службам. Да и сами сервера, когда связываются с другими серверами, тоже используют всю ту же аутентификацию.

Существует два метода аутентификации, однофакторная и двухфакторная. При однофакторном методе в качестве подтверждения личности используются пароли, цифровые сертификаты, электронные подписи. Возможны и более сложные технически аутентификаторы: аппаратные токены и биометрия. Двухфакторный метод подразумевает одновременное применение двух однофакторных методов. При этом возможен и полный отказ от паролей, — в таких случаях используются специализированные решения. 

Бизнес-слабость в области паролей

Об этой проблеме специалисты говорят много лет, но ситуация не меняется. В большинстве компаний для доступа к информационным ресурсам используются слабые пароли. 

К примеру, по данным «Ростелеком-Солар», таких паролей — 78% от общего количества. Данные PositiveTechnologies удручают еще более — слабых паролей в текущем использовании сразу 91%.  Между тем, от надежности пароля напрямую зависит уровень информационной безопасности, а сама по себе парольная защита — основной элемент ИБ и самый простой способ выполнения требований соответствующих политик. 

Более того, пароль — первое, что пытаются похитить киберпреступники при проведении атаки на инфраструктуру. Используются для этого разные инструменты, самый распространенный из которых — brute force. С его помощью злоумышленники проводят перебор паролей. И чем проще будет пароль, тем проще и быстрее хакеры его вскроют.

Существуют рекомендации, которые определяют, каким должен быть надежный пароль. В частности, в них говорится о том, что в пароле должно быть не менее 9 символов, причем он должен сочетать строчные и прописные буквы, цифры, специальные знаки. Правила, которые определяют, как пароль должен выглядеть и как долго он должен существовать, называются «парольная политика».

Казалось бы, достаточно просто выполнять парольную политику: составлять сложные пароли и регулярно их менять. Но на деле это все оказывается не такой уж выполнимой задачей. 

Например, пароль P@ssword123! удовлетворяет требованиям большинства политик, но на деле он — столь же часто используется и столь же часто подбирается хакерами, как «хрестоматийный» Qwerty1234.

Результат — налицо. Об очередной утечке парольной базы регулярно сообщают СМИ, почти все крупные компании успели отчитаться о таких инцидентах. А в даркнете есть даже специальный сервис «учетные данные как сервис», с помощью которого можно очень просто и совсем не дорого получить доступ к утекшим базам.

Зачем злоумышленникам нужны пароли

Хорошо известны типичные этапы развития кибератак. Они начинаются с разведки, проходят через анализ уязвимостей и их эксплуатацию. Затем следуют закрепление в системе, повышение привилегий и, как вишенка на торте, результат — выполнение целевых действий. 

Для хакеров критически важна результативность самого первого этапа нападения, разведки. Нацелена она на то, чтобы найти скомпрометированные учетные записи, при помощи перебора паролей или благодаря поиску соответствующих данных в даркнете.  

Если такая разведка достигает успеха — половина задач хакеров уже решена. Для того, чтобы добраться до конечной цели у них есть разнообразные инструменты. Поэтому так важны пароль и даже идентификатор учетной записи. Их наличие — необходимое условие для успешного проникновения внутрь защищенного периметра организации. 

Настоящей находкой для киберпреступников становятся слабые пароли или скомпрометированные — те, которые отличаются сложностью, но были выкрадены и содержатся в базах даркнета.

Как создать сложный пароль

В качестве основы для пароля, который действительно отличается сложностью и одновременно отвечает требованиям политик (мы помним, что так бывает не всегда) лучше всего использовать какую-то нелогичную фразу: «горячий лед» или «с широко закрытыми глазами». И никогда — распространенные буквенные или цифровые сочетания вроде qwerty, даты рождения или названия компании, где вы работаете, а также вендора, который предоставляет сервис.

Надежнее всего применять специализированные решения. Они способны проводить проверку придуманных фраз — оценить их сложность, найти в даркнете информацию о том, не были ли они скомпрометированы (таких записей, кстати, начитывается порядка 840 млн).

С помощью подобных решений можно запретить использование в создаваемых паролях запрещенных слов или комбинаций символов. Кроме того, они блокируют попытки пользователей установить слабый пароль, при этом каждый из них еще и проверяется на соответствие корпоративным парольным политикам.

Эффективность этого класса решений достигает 60% — именно на столько сокращается вероятность успешной атаки на инфраструктуру организации, которая поддерживает высокий уровень политики безопасности в сфере паролей сотрудников.

Особенно актуален такой софт компаниям, которые недавно проводили тестирование на проникновение — в отчете о нем как правило всегда содержатся данные о наличии уязвимых паролей.  На рынке подобных решений в России большого разнообразия пока нет. Единственная подобная опция среди российских разработок — Strongpass. И это, пожалуй, его главный недостаток. Аналоги есть только за рубежом, и использование их может быть рискованным.

Второй путь — двухфакторная авторизация

Существует стереотип о том, что пользователи не слишком любят двухфакторную авторизацию: она требует больше времени, нужно дополнительно вводить проверочный код и т.д. 

Однако в некоторых сценариях МФА (многофакторная авторизация, куда входит и двухфакторная) успешно используется в качестве замены для пароля. Это даже «облегчает жизнь» пользователя — ему не нужно запоминать сложный пароль, достаточно просто ввести 6 цифр или нажать на пуш-уведомление, что не составляет никакого труда.

Эффективность МФА любые возможные недостатки покрывает с лихвой: ведь она работает даже в тех случаях, когда злоумышленник сумел подобрать (или приобрести у торговцев краденными данными) действующий пароль к учетной записи. 

Реализовать двухфакторную авторизацию просто. На рынке российских решений есть продукты, которые будут решать эту задачу.

Работает это следующим образом. ПО разделяет зоны доступа к инфраструктуре на два сегмента — удаленный и внутренний. Для каждого ресурса компании можно использовать собственный сценарий двухфакторной авторизации, чтобы использовать для доступа к ним одноразовый пароль, биометрию или аппаратные носители. При этом коды авторизации, если выбраны именно они, можно рассылать как пуш-уведомления через мобильное приложение. 

В отдельных случаях можно обеспечить вход и вовсе без пароля, при помощи ввода кода авторизации.

В отличие от ситуации на рынке решений для проверки паролей, с МФА у российского пользователя есть выбор. Свои средства двухфакторной авторизации предлагают такие разработчики, как «Алладин», Multifactor и «Индид».

Простой или скомпрометированный пароль — верная дорога к киберинцидентам и непредсказуемым потерям. На нее лучше не сворачивать, тем более что есть и правила, позволяющие обеспечить надежность пользовательских паролей, и эффективные программные средства их проверки и защиты.