В эпоху искусственного интеллекта и квантовых технологий многие компании продолжают рисковать своим благополучием из-за слабой парольной политики. Несмотря на все предупреждения и громкие новости об утечке паролей, злоумышленники продолжают получать доступ к корпоративным данным чаще всего именно таким образом. В этом обзоре мы рассмотрим распространенные ошибки и рискованные привычки пользователей в отношении паролей, а также предложим одно из решений этой проблемы.
Способы взлома аккаунтов
Злоумышленники используют различные методы для получения доступа к аккаунтам корпоративных пользователей.
Один из самых распространенных — классический брутфорс, или метод полного перебора. Специальная программа быстро подбирает множество вариантов паролей, нацеливаясь на слабые места — пароли по умолчанию или временные пароли, о смене которых пользователи чаще всего забывают из-за автоматического ввода.
Более продвинутый метод — брутфорс по словарям. В этом случае используется список ранее «слитых» паролей, поскольку предполагается, что многие пользователи могут создавать одинаковые комбинации из-за ассоциативного мышления и глобализации культуры.
Вредные привычки пользователей
Что же такое «слабые пароли» и как они возникают?
Второй вопрос имеет простое объяснение: они появляются из-за лени, спешки или недостаточного понимания рисков. Ответ на первый вопрос можно представить в виде интересного списка, который показывает предсказуемость многих интернет-пользователей.
Вот самые распространенные привычки:
- Использование минимально допустимой длины пароля (обычно это 8 символов)
- Применение заглавной буквы всего один раз и только в начале пароля
- Выбор для пароля популярных у большинства спецсимволов (@, #, $, &)
- Цифры, как правило, размещают в конце пароля, и чаще всего это дата рождения
Еще одна неявная привычка пользователей — минимальные изменения в старом пароле при его смене. Достаточно заменить заглавную букву на строчную или поменять местами две цифры, и система примет «новый пароль». Это сводит на нет эффективность корпоративной политики кибербезопасности. И как же уследить за каждым сотрудником и отконтролировать всевозможные моменты?
Корпоративный менеджер паролей как оптимальное решение
Решением всех перечисленных проблем может стать централизованная платформа для всех сотрудников — корпоративный менеджер паролей. Каждому отдельному пользователю попросту не придется придумывать пароли, за него это сделает программный алгоритм, лишенный человеческих слабостей.
Пользователю достаточно запомнить всего один «сильный» мастер-пароль для авторизации. Все остальные пароли хранятся в памяти системы и могут вводиться автоматически. Хороший парольный менеджер зачастую легко интегрируется с популярными браузерами при помощи расширения и имеет свое мобильное приложение.
А для усиления степени безопасности можно подключить двухфакторную аутентификацию (2ФА), что исключает проникновение в систему даже с украденным мастер-паролем.
При этом всей системой управляет назначенный компанией администратор: он распределяет доступ пользователей к различным сейфам и папкам. Таким образом, каждый сотрудник видит только те пароли, которые ему разрешены.
Автоматический аудит безопасности, мониторинг действий пользователей и своевременные напоминания о необходимости смены паролей, а также встроенный генератор сложных паролей обеспечивают надежность и удобство.
Ситуации, создающие риски
Помимо действий конкретных пользователей, риски для информационной системы компании несут и вполне естественные рабочие процессы.
Например, онбординг и оффбординг. Когда новый сотрудник начинает работу, важно быстро предоставить ему все необходимые доступы. Это позволит ему сразу приступить к выполнению своих обязанностей, а не тратить время на выяснение у коллег, как получить доступ к различным аккаунтам.
Плюс на некоторых позициях во многих компаниях текучка кадров — привычное явление. И каждый раз при уходе сотрудника, имевшего доступ к корпоративным аккаунтам, важно своевременно предпринять все необходимые меры. Даже однодневная задержка в смене паролей может оказаться критичной для бизнеса.
Еще одна распространенная ситуация: когда ключевой сотрудник заболел или ушел в отпуск и не отвечает на сообщения и звонки, а пароль к онлайн-сервису для выполнения важной и срочной задачи есть только у него.
Корпоративный менеджер паролей поможет администратору быстро предоставить нужные доступы новому сотруднику или тому, кто временно заменяет своего отсутствующего коллегу, а также вовремя обновить необходимые пароли после увольнения человека из компании.
Подручные, но небезопасные средства сисадминов
Не стоит забывать и об устаревших методах администрирования, которые в разы повышают риски утечки всех паролей сразу.
Например, системные администраторы могут иметь привычку хранить корпоративные пароли в Excel-файле или Google-документе. Если в компании только один администратор, это с натяжкой можно назвать приемлемым. Однако как только появляется второй специалист с аналогичными функциями, риски возрастают: «секретная экселька» теряет свою конфиденциальность, а хранение паролей в облаке без какого-либо шифрования — в принципе плохая затея.
Использование в компании парольного менеджера сразу обеспечивает гораздо лучшую защиту, чем любой локальный файл и тем более облачный документ, ведь все данные хранятся на вашем сервере, к тому же в зашифрованном виде.
При этом от обычных сотрудников не требуется каких-то сложных действий, чтобы ежедневно работать с корпоративными доступами. В свою очередь администраторы, управляющие системой, наконец-то обретают дзен в работе на удобной платформе.
Готовое решение для кибербезопасности вашей компании
В качестве хорошего примера можно привести менеджер паролей «Пассворк» — это отечественное решение от аккредитованной ИТ-компании, которое внесено в единый реестр российского ПО. Высокая степень надежности обеспечивается благодаря тому, что все данные хранятся на сервере клиента и шифруются алгоритмом ГОСТ или AES-256 по вашему выбору.
«Пассворк» работает на PHP и MongoDB, а также поддерживает установку на Windows Server и Linux с Docker или без него.
Продуманный функционал, простота и удобство в использовании позволяют легко внедрить менеджер паролей в повседневные рабочие процессы. Администратору доступны детальные настройки прав пользователей, а пользователи могут наслаждаться интуитивно понятным интерфейсом и экономить рабочее время.
Еще одним преимуществом является поддержка двухфакторной аутентификации (2ФА) для подтверждения входа, что обеспечивает дополнительный уровень безопасности корпоративных данных. А наличие мобильного приложения и браузерного расширения добавляют комфорта.
Более того, система сама следит за ситуацией и предлагает меры по улучшению безопасности — например, обнаруживает слабые, устаревшие или скомпрометированные пароли и рекомендует их сменить.
Вы можете протестировать корпоративный менеджер паролей «Пассворк» 30 дней без оплаты, сделав запрос от своей компании на сайте — passwork.ru
Реклама. ООО «ПАССВОРК» ИНН 2901311774 ОГРН 1222900006262. Erid: 2VfnxxTXPzG