четверг, 9 сентября 2010 г.

Политика управления персональными паролями, часть первая. Определяем проблему.

Shors (VICTOR): кто нить номер маей аськи помнит
Shors (VICTOR): вот ведь засада после форматирования винта
Shopen (SHOPEN): xxx-xxx-xxx
Shors (VICTOR): вооо спасибо Ваня
Shors (VICTOR): дружищщще
Shors (VICTOR): выручил
Shopen (SHOPEN): пароль надо? )
(с) bash.org.ru
   К написанию этой заметки меня подвигло обсуждение вредных советов для разработчиков парольной аутентификации, опубликованное мной на RSDN несколько дней назад, равно как и периодически всплывающие там же, в различных форумах, вопросы о защищенности информационных систем, основанных на парольной аутентификации.

    Несмотря на существование достойных альтернатив, пароль был, есть и, видимо будет еще весьма долго оставаться основным способом подтверждения пользователем своих прав на доступ в ту или иную систему. С одной стороны, парольная аутентификация является самой дешевой и легко реализуемой, по сравнению с существующими альтернативами. С другой, она обладает и существенным недостатком: в случае ее использования, безопасность учетной записи пользователя попадает в прямую зависимость от действий "самого слабого звена информационной системы". Вредные советы как раз и были посвящены тому, как снизить риски, обусловленные этим недостатком и свести на нет все усилия пользователя по ослаблению защиты своей собственной учетной записи.

    Да, сами пользователи далеко не всегда  осознают, чем является их пароль и как обращение с ним влияет на безопасность информации, доступ к которой он предоставляет. Также, как и не понимают, откуда взялись все эти ограничения, которые накладывают на них буквально повсюду, почем зря: в системах интернет-банкинга и электронных платежей, на рабочих местах в офисе и относительно серьезных сайтах в интернете. В результате, пользователи воспринимают любую попытку склонить их в сторону безопасных паролей крайне негативно, что влечет за собой и забытые пароли, и заблокированные записи, и стикеры с паролями на мониторах, в общем, полный набор всех прелестей парольной защиты. Это также выливается в массу пользовательского негатива и к разработчикам, внимательно изучившим чек-листы по реализации парольной защиты, и к администраторам систем, задавшим "излишне" жесткие политики безопасности паролей, и к нашему брату, специалистам по безопасности, контролирующим все три целевых группы на предмет соблюдения всевозможных политик, в т.ч. и политик парольной защиты.

    Не спорю, бывает - и гайки в политиках безопасности перекручены так, что резьба проступает даже на головках (гусары, молчать! сие есть глубокая метафора, а не то, что вы подумали). Но гораздо чаще, обозначенные проблемы имеют место именно из-за того, что пользователи не имеют ни малейшего представления о том, как правильно управлять собственными паролями. И это не только и не столько их вина: повышение осведомленности своих пользователей в вопросах информационной безопасности - достаточно важный процесс, требующий, как минимум, не меньших усилий от поставщиков услуг и программного обеспечения или работодателей, чем нарезание резьбы там, где ее и быть-то не должно.

    Необходимость системного подхода к использованию персональных паролей очевидна: любой, мало-мальски работающий с информационными системами пользователь, рано или поздно обрастает внушительной пачкой активных паролей, часть из которых подлежит регулярной замене, часть используется им на публичных сайтах (зачастую циркулируя между пользователем и веб-приложением в открытом виде), часть не подлежит разглашению даже с паяльником в ж ни под каким предлогом и т.д. Разумеется, не имея четко выстроенной системы управления паролями, очень легко запутаться и в паролях, и в применяемых к ним политиках. Со всеми вытекающими отсюда последствиями...

    Вот, о том, как построить процесс управления своими персональными паролями, я и хочу рассказать в серии следующих заметок на примере собственной политики, которую успешно использую уже несколько лет. Политики, которая была сформирована не только с позиции специалиста по защите информации, но и с позиции рядового пользователя, которого точно также задалбывает необходимость держать в голове двадцатисимвольные пароли, периодически их менять, да еще и заботиться об их безопасности вместо того, чтобы спокойно работать и заниматься любимым делом.

    Надеюсь, информация окажется полезной...

Следующая часть:
Политика управления персональными паролями, часть вторая. Краткий ликбез по парольной защите: устойчивость пароля.

Комментариев нет:

Отправить комментарий

Пожалуйста, будьте вежливы к автору и остальным посетителям этого блога