Как выбрать правильный пароль?

Как выбрать правильный пароль?

Безопасность работает тогда, когда люди действуют как сообщество, независимо от того, понимают ли они, насколько распространен их пароль, или же они уверены в том, что пароль, который они выбрали на работе или дома, лучший выбор. В своем блоге NCSC говорит о важности изменения политик паролей (при необходимости), чтобы пользователям было легче выбирать «хорошие». Это включает использование черных списков паролей (то есть обеспечение того, чтобы вы не могли выбрать пароль, был ранее использован).

В сотрудничестве с Троем Хантом, национальный центр кибербезопасности, опубликовал список, содержащий более 100 000 лучших паролей из набора данных «Я уже был». Если в этом списке, вы увидите пароль который используете,  вы должны немедленно изменить его. В этой статье мы расскажем, почему вы должны это делать, и ответим на некоторые распространенные вопросы о черных списках паролей.

Посмотреть список можно тут


Почему повторное использование пароля является проблемой?

Повторное использование пароля, является серьезным риском для частных лиц и компаний. Пароль «123456» был найден 23 миллиона раз в результатах взломов, которые собрал Трой. Злоумышленники обычно используют подобные списки при попытке проникновения по периметру или при попытке перейти в сети к потенциально менее защищенным системам. Это особенно распространено в сетях, где есть корпоративный компонент и компонент операционной системы или системы промышленного контроля (ICS). 

Используя современный подход к аутентификации (включая многоэтапную аутентификацию), вы можете снизить риск вторжения в ваши сети со стороны злоумышленника, использующего преимущества взломанных данных, выбор неправильных или простых паролей или отсутствие надежных методов аутентификации.


Зачем останавливаться на 100 000 паролей? Почему не 1 миллион?

Должен существовать баланс между защитой пользователей от неправильного выбора пароля и одновременным затруднением выбора. Мы думаем, что 100 000 достигают хорошего баланса. Пользователи не должны быть слишком расстроены, так как качество паролей все еще достаточно высоко. Также сузществуют другие меры по снижению риска (такие как мониторинг и многоэтапные аутентификации), которые могут справиться с большей частью проблем.


Я разработчик. Что мне делать с этими списками?

Если ваш продукт, не будет будет иметь доступ к Интернету при использовании (или вы не хотите полагаться на внешнюю службу), вы можете включить проверку одного из этих файлов в свой процесс аутентификации.Вам решать, как вы обрабатываете случаи, когда пароль соответствует одному из них, но на мой взгляд разрешить пользователям использовать такие инструменты, как менеджеры паролей, будет лучшим выбором. Если вы можете использовать внешнюю службу, есть такие опции, как API Pwned Passwords. Трой написал действительно хороший блог, в котором рассказывается о том, как разные компании внедрили эту функцию, что может помочь вам создать собственный поток. В качестве альтернативы посмотрите способы снижения нагрузки на ваших пользователей, взглянув на альтернативные потоки аутентификации (например, поддержку единоразового входа) и следите за будущими стандартами, такими как WebAuthn.


Я системный администратор. Что мне делать с этими списками?

Блог Энди Пи, о распылении паролей посвящен исследованию, в котором проводилась проверка паролей в Active Directory (AD) по спискам распространенных паролей. Вы можете использовать инструмент Password Auditor, который он упоминает, и изменить его, чтобы использовать этот список. Или можно использовать альтернативное решение с вашим провайдером аутентификации – у некоторых может быть возможность сверяться с черным списком. Энди предлагает хорошие подходы, которым стоит следовать, если они совместимы с вашей сетевой архитектурой. Если вы используете Azure AD, Microsoft недавно запустила новую функцию защиты паролем, которая позволит вам определить используются ли пароли из черного списка. Вы также можете перевести своих пользователей к таким решениям, как Hello for Business, чтобы в принципе отказатся от использования паролей. Как и в случае с разработчиками, существуют способы, с помощью которых вы, как системный администратор, можете помочь уменьшить перегрузку паролем.

Google+ Linkedin

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

*