Требования к безопасности пароля

Популярно об информационных системах и технологиях

[email protected]

  1. Блог
  2. » Политика паролей

Поддержите adminland

Итого за 2018 год финансово ADMINLAND поддержали 30 человек.

Суммы не велики от 10 до 500 рублей и не являются серъезным источником дохода.

Но имеют большую ценность — это однозначное подтверждение, что статьи помогли или просто понравились.

Сумма абсолютно не важна — главное участие.

Политика паролей

1 Общие положения

Пароли являются важным элементом информационной безопасности. Они обеспечивают защиту учетных записей пользователей. Неправильно выбранный пароль может стать причиной неавторизованного доступа к конфиденциальной информации или нарушения работоспособности информационных систем компании.

Все пользователи (сотрудники компании, дилеры, поставщики, подрядчики или посетители), имеющие доступ к информационным системам компании, ответственны за принятие соответствующих (как описано ниже) мер по созданию и защите пароля.

Целью политики является введение стандартов по созданию стойких паролей, их защите и срокам действия.

3 Область действия

Политика распространяется на всех пользователей информационных систем компании, которые имеют учетные записи или назначены ответственными за таковые. А также на сотрудников хранящих конфиденциальную информацию компании.

4.1 Рекомендации

Пароли используются для многочисленных целей. Наиболее распространенные из них: вход на компьютер, электронная почта, заставка экрана, локальный маршрутизатор и т.д. Поскольку пароли используются многократно (за редким исключением систем с одноразовыми паролями) пользователи должны знать требования по созданию стойких паролей.

Характеристики слабого пароля:

— содержит менее 8 символов;

— слово из словаря;

— повседневно используемое слово, например, имена или фамилии друзей, коллег, актеров или сказочных персонажей, клички животных;

— компьютерный термин, команда, наименование компаний, web сайтов, аппаратного или программного обеспечения;

— вариации наименования компании или торговой марки;

— день рождения или другая персональная информация, например, адрес, номер телефона и т.п.

— регулярные последовательности символов и цифр, например, 111222, abcde, qwerty и т.п.

— что-либо из вышеперечисленного в обратном написании;

— что-либо из вышеперечисленного с добавлением цифр в начале или конце.

Характеристики стойкого пароля:

— содержит прописные и строчные буквы;

— содержит цифры и символы;

— более 8 символов длиной;

— не является словом ни на одном из языков, диалектов, жаргонов, слэнгов;

— не основывается на персональной информации;

— не записан в бумажной или электронной форме.

Пароль должен хорошо запоминаться. Один из способов — создание пароля на основе названия песни или запоминающейся фразы. Например, «Это элементарно Ватсон!», «2Элмнт_В!».

4.1.2 Защита паролей

Для учетных записей пользователей компании запрещено использовать тот же самый пароль, что и для других информационных систем (например, домашний интернет провайдер, бесплатная электронная почта, форумы и т.п.). По возможности не используйте один и тот же пароль для различных корпоративных систем. Также необходимо использовать различные пароли в операционных системах Unix и Windows.

Запрещено сообщать пароль кому бы то ни было, включая административный персонал и секретарей. Все пароли являются конфиденциальной информацией компании.

Список запрещенных действий с паролями:

— никому не сообщайте пароль по телефону;

— не указывайте пароль в сообщениях электронной почты;

— не сообщайте пароль вашему руководству (исключение делается для первичного пароля);

— не сообщайте принципы создания пароля (например, «на основе моей фамилии»);

— не сообщайте пароль в электронных опросах и незнакомых формах авторизации;

— не сообщайте пароль членам семьи и родственникам;

— не передавайте пароль коллегам на время вашего отпуска.

На компьютере должна быть включена защищенная паролем заставка, активирующаяся через 10 минут бездействия пользователя. Вход пользователя в систему не должен выполняться автоматически. Покидая рабочее место пользователь обязан заблокировать компьютер.

Если кто-либо требует сообщить ваш пароль, сошлитесь на данный документ или направьте в службу информационной безопасности компании. Не записывайте пароли на бумагу. Не сохраняйте пароли в файлах на каком-либо носителе (например, флэшка, мобильный телефон и т.п.) без шифрования.

Читайте так же:  Моральный вред и его компенсация при дтп судебная практика

Учетная запись пользователя блокируется на 1 час при 5 неправильных вводах пароля в течении 5 минут. Заблокированные учетные записи входящие в группы Domain Admins и Enterprise Admins разблокируются системным администратором только после подтверждения, что неправильный пароль действительно был набран самим пользователем. В ином случае проблема передается службе информационной безопасности компании.

Для системных учетных записей учет неправильных попыток ввода пароля может быть отключен.

Пароль должен изменяться не менее одного раза в 42 дня, для системных учетных записей раз в три месяца. Рекомендованный интервал смены пароля 30 дней. Если вы подозреваете, что ваш пароль стал известен кому-либо немедленно измените его и сообщите об этом в службу информационной безопасности компании по телефону (0000000) или на электронную почту ([email protected]).

Службой информационной безопасности проводится периодическая проверка паролей на стойкость методами последовательного перебора и перебора по словарю. Если в ходе проверки удастся получить ваш пароль, ваша учетная запись будет заблокирована и вам будет необходимо изменить пароль для дальнейшей работы.

5 Ответственность

Все сотрудники компании несут ответственность за нарушение данной политики. Служба информационной безопасности выявляет и передает в отдел кадров все факты нарушения данной политики для принятия соответствующих мер.

Требования к безопасности пароля

Поддержка домашних пользователей

Поддержка в социальных сетях

Поддержка бизнеса

Следите за В2В новостями

Борьба с вирусами

© АО «Лаборатория Касперского», 2019.

Напишите нам, если не нашли нужную информацию на странице, или оставьте отзыв о работе сайта, чтобы мы сделали его лучше.

Спасибо за отзыв!

Лаборатория Касперского ценит каждое мнение.
Ваш отзыв будет принят во внимание

Как мы можем улучшить статью?

Мы не сможем с вами связаться, если вы оставите контактные данные. Для обращения в службу поддержки используйте Личный кабинет.

Требования к безопасности пароля

Пароль П ользователя должен отвечать следующим требованиям:

Длина пароля должна быть не менее 8 и не более 14 символов.

Пароль должен состоять из букв латинского алфавита (A-z), арабских цифр (0-9) и специальных символов, приведенных в п. 4 данных требований.

Буквенная часть пароля должна содержать как строчные, так и прописные (заглавные) буквы.

Пароль должен содержать не менее одного из следующих символов:

Политика паролей в Active Directory / PSO

Ввод пароля при входе на компьютер, является неотъемлемой составляющей безопасности в домене. Контроль за политикой паролей пользователей (сложность пароля, минимальная длина и т.д.) является одной из важных задач для администраторов. В этой статье я подробно опишу изменение политики паролей с помощью GPO для всех пользователей домена, а так же опишу способ как сделать исключения политик паролей для некоторых пользователей или группы пользователей.

Политика паролей домена конфигурируется объектом GPO- Default Domain Policy, которая применяется для всех компьютеров домена. Для того что бы посмотреть или внести изменения в политику паролей, необходимо запустить оснастку «Управление групповой политикой», найти Default Domain Policy, нажать на ней правой кнопкой мыши и выбрать «Изменить«.

Зайти «Конфигурация компьютера«- «Политики«- «Конфигурация Windows«- «Параметры безопасности«- «Политики учетных записей«- «Политика паролей«, в правом окне вы увидите параметры пароля, которые применяются в вашем домене.

Параметр определяет должен ли пароль отвечать сложности:

-не содержать имени учетной записи

— длина не менее 6 знаков

— содержать заглавные буквы (F, G,R)

— содержать строчные буквы (f,y,x)

— содержать спец знаки (#,@,$)

Для того что бы изменить параметр достаточно нажать на нем и указать значение. Напомню указанные параметры будут применяться на все компьютеры домена.

Трудности возникают, если у вас в домене должны быть исключение, т.е. пользователь или группа пользователей для которых необходимы иные условия политики пароля. Для этих целей необходимо использовать гранулированную политику пароля. Эти политики представляют отдельный класс объектов AD, который поддерживает параметры гранулированной политики паролей: объект параметров политики PSO (Password Settings Object). Гранулированные политики пароля не реализованы как часть групповой политики и не применяются объектами GPO их можно применить отдельно к пользователю или глобальной группе.

Для того, что бы настроить PSO необходимо запустить adsiedit.msc, для этого нажимаете кнопку «Пуск», в окне «Выполнить», введите «adsiedit.msc» и нажмите кнопку «Enter».

Читайте так же:  Требования к рабочим программам учебных предметов

В оснастке «Редактор ADSI» щелкните правой кнопкой мыши Редактор ADSI и выберите команду Подключение к...

Нажмите на кнопку «OK«, чтобы выбрать настройки по умолчанию в диалоговом окне «Параметры подключения» или в поле Имя введите полное доменное имя для того домена, в котором требуется создать объект параметров паролей, а затем нажмите кнопку «ОК».

Далее зайдите по пути «DC= «- «CN=System»- «CN=Password Setings Container».

Щелкните правой кнопкой пункт «CN=Password Setings Container«, выберите команду «Создать», а затем пункт «Объект».

В диалоговом окне Создание объекта в разделе Выберите класс щелкните атрибут msDS-PasswordSettings (выбора как такого у вас не будет, поскольку атрибут будет один), затем нажмите кнопку «Далее».


После этого мастер поможет создать объект настроек для пароля Password Settings Object. Необходимо будет указать значение для каждого из следующих 10 атрибутов. Ниже представлена таблица с кратким описанием и возможными значениями атрибутов.

Есть ли какие-то требования к паролю по закону о персональных данных?

В соответствии с требованиями ст.19 ФЗ «О персональных данных» Правительство выпустило Постановление №1119, в котором в зависимости от объема обрабатываемых данных определяется требуемый уровень защиты (цифра от 1 до 4).

ФСТЭК РФ в соответствии с ФЗ и ПП-1119 выпустило 2 приказа : для гос.учреждений — Приказ №17, для коммерческих учреждений — Приказ №21, в которых указывается какие меры защиты должны быть внедрены, и если это принципиально, то их характеристики. Парольная защита указана для всех 4 уровней защищенности, однако, параметры этой парольной защиты не указаны. Таким образом по факту они могут быть выбраны Вами любыми, если Вы в случае проверки докажете невозможности их взлома полным перебором за время его (пароля) жизни (иначе это будет противоречить тому же Приказу №21).

Дальше Вы должны отталкиваться от скорости перебора и вычислять по ней требуемую информационную емкость (энтропию) пароля. Явных требований к набору символов энтропия не задает, но увеличивая наборы, Вы фактически позволяете сделать пароль короче (при той же информационной емкости). И очень советую внедрять в системе таймаут (например, 2 минуты) после 5-10 неверных попыток подбора пароля. Иначе требуемая минимальтная длина у Вас выйдет просто нереальная для запоминания рядовому пользователю.

Безопасность паролей

Учетные записи на различных сервисах – важнейшая часть наших данных. Почта, социальные сети, форумы, личные кабинеты на разных сайтах — всё это вы защищаете паролем. Очень важно, чтобы пароль был надёжным,как замок на двери в квартиру.

Вопрос выбора пароля зачастую ставит пользователя в тупик, иногда вызывает раздражение слишком серьезными требованиями и редко, когда заставляет человека серьезно подойти к этому процессу. Зачастую срабатывает типичная логика неуловимого Джо «кому я нужен, никто не станет меня ломать», главное самому не забыть.

Как же найти компромисс между надежным паролем, отвечающим требованием безопасности, и паролем, который легко запомнить?

Это может показаться смешным, но известный американский криптограф Брюс Шнайер, основатель криптографической компании Counterpane Internet Security, Inc предлагал записывать пароли на бумажке и хранить в кошельке вместе с банковскими карточками.

This is good advice, and I’ve been saying it for years.

Simply, people can no longer remember passwords good enough to reliably defend against dictionary attacks, and are much more secure if they choose a password too complicated to remember and then write it down We’re all good at securing small pieces of paper I recommend that people write their passwords down on a small piece of paper, and keep it with their other valuable small pieces of paper, in their wallet.

К вопросу выбора пароля нужно подходить со всей серьезностью. Ниже приведены рекомендации по составлению безопасного пароля.:

Главные признаки хорошего пароля:

Например, подбор пароля Lev!Tolstоj1828, при использовании алгоритма полного перебора, займет 42 квадриллиона лет. Полученная цифра очень условна, т.к. зависит от многих факторов, таких как мощность используемого оборудования, количества компьютеров, участвующих в переборе, технология получения комбинаций и т.д. Например, в данном расчете используется скорость перебора 300.000.000 паролей в секунду. При использовании скорости 4.000.000.000 паролей в секунду, время подбора пароля составит 28 миллиардов лет.

Читайте так же:  Алименты вещами

3,9703058810593968686230373349024e+32 комбинаций
/
300.000.000 паролей в секунду
=
42.548.717.003.808.694 лет

Еще одним важным вопросом, касающимся надежностей паролей, является вопрос «любимых паролей». Большинство из нас используют одинаковые пароли для разных сервисов, не задумываясь о последствиях такого выбора. Давайте представим следующую ситуацию: наши учетные данные оказались среди 4.5 миллионов данных пользователей mail.ru, выложенных в сеть 10 сентября. Любой пользователь интернета, мог зайти по этому паролю в наш почтовый ящик, щелкнуть на письмо со следующим содержанием «Вам поступила новая заявка на добавление в друзья, перейдите по ссылке», и перейти на нашу страницу в социальной сети. Для того, чтобы попасть в нее осталось ввести только адрес почты и пароль. Пользователь вводит уже известную комбинацию и попадает на нашу страницу. Таким образом, любой человек может пройтись не только по социальным сетям, а, например, зайти в дневник от лица учителя, если мы таким являемся, попасть в систему интернет платежей и т.д.

Пароли от разных сервисов должны быть разными. Конечно, так запоминать придётся больше, но зато, если один из ваших паролей попадёт в чужие руки, вы не потеряете сразу всё.

Специалисты службы информационной безопасности Яндекса советуют придумывать себе правило и немного менять пароль в зависимости от сервиса: например, VLev!Tolstоj1828 — для ВКонтакте и FLev!Tolstоj1828 — для Фейсбука. На крайний случай существуют менеджеры паролей — программы, которые будут помнить их вместо вас.

В заключение, хотелось подвести небольшой итог. Если мы выбираем пароль, который легко угадать, то мы рискуем стать жертвой кражи личных данных. Проблема усугубляется в случае, если один и тот же пароль используется в разных учетных записях онлайн – в этом случае при взломе одного аккаунта под угрозой оказываются все остальные. По этой причине многие сервис-провайдеры, теперь предлагают двухфакторную аутентификацию – для доступа на сайт или для внесения изменений в настройки учетной записи от пользователя требуется ввести код, сгенерированный аппаратным ключом или присланный на мобильное устройство. Двухфакторная аутентификация действительно усиливает безопасность, но только в том случае, если она требуется в обязательном порядке, а не предлагается в виде опции.

Создатель «драконовских» правил для паролей раскаялся в содеянном

«Ваш пароль должен содержать как минимум одну цифру, букву в верхнем регистре, а также не-буквенный символ», — эти и подобные требования к паролям, как и действующее во многих корпорациях правило менять их каждые несколько месяцев, не взяты «с потолка». Их сформулировал 15 лет назад сотрудник Национального института стандартов и технологий (NIST) США. И теперь он глубоко сожалеет о содеянном.

В 2003-м году Билл Бёрр (Bill Burr) написал восьмистраничное руководство о том, как правильно создавать безопасные пароли. На выпущенный NIST документ с тех пор ориентировались, определяя свою политику в отношении пользовательских паролей, корпорации, банки и интернет-сервисы. Именно в этом документа сформулированы требования вроде обязательного использования в пароле букв разного регистра, цифр и редких символов.

72-летний Бёрр признался в интервью The Wall Street Journal, что никогда не был экспертом по кибербезопасности, и никогда толком не разбирался в паролях, не говоря уже про психологические аспекты кибербезопасности. По его словам, при подготовке своего руководства он взял за основу документ, написанный еще в 80-х. В те годы до массового распространения интернета было еще далеко, и никто не мог представить, сколько разных паролей придется создавать и запоминать миллиардам людей на планете.

Теперь рекомендации NIST поменялись. Вместо относительно короткого, но сложно запоминаемого пароля с «абракадаброй» из цифр и символов институт советует использовать длинные фразы из обычных слов. Ведь с увеличением числа символов в пароле время, требуемое на его автоматизированный подбор при взломе, растет экспоненциально.

Что касается требования менять пароль каждые несколько месяцев, часто применяемого в корпоративных компьютерных системах, то оно также не сильно способствует повышению безопасности. Подавляющее большинство пользователей, меняя пароль, просто заменяют в нем один символ, как правило, цифру — в итоге подобрать его, зная старый вариант, можно очень быстро.

Требования к безопасности пароля