Топ-5 лучших принципов и приемов правильной политики в отношении паролей

В течение многих лет многие компании просто настраивали несколько параметров в политике паролей Microsoft Active Directory и были уверены в безопасности своей политики паролей. Однако традиционные параметры политики паролей больше не являются достаточной защитой для учетных записей пользователей, размещенных в Active Directory.

Надежная политика паролей — это источник жизненной силы парольной безопасности. Организации, которые хотят адекватно защитить свой бизнес от опасностей кражи учетных данных и утечки данных из-за взлома учетных данных, должны уделить должное внимание надежной политике паролей.

Принципы и практика правильной политики паролей

Лучшие принципы и практики правильной политики паролей

Давайте рассмотрим пять основных принципов хорошей политики паролей и посмотрим, какие функции политики паролей следует использовать в вашей организации.

1. Порог блокировки аккаунта.

Порог блокировки учетной записи — это устаревшая настройка. Однако он по-прежнему считается параметром политики паролей, который имеет значение для защиты учетных записей от взлома. Итак, каков порог блокировки учетной записи и как он помогает защитить учетные записи конечных пользователей от взлома?

Порог блокировки учетной записи — это параметр политики паролей, который определяет количество неудачных попыток входа в систему до того, как учетная запись пользователя Active Directory будет заблокирована. В Специальная публикация NIST 800-63B Рекомендации по цифровой идентификации В документе говорится следующее:

«Верификаторы ДОЛЖНЫ реализовывать механизм ограничения скорости, который эффективно ограничивает количество неудачных попыток аутентификации, которые могут быть сделаны для учетной записи подписчика, как описано в разделе 5.2.2».

Заблокированные учетные записи могут стать огромным бременем для команд службы поддержки, которые уже сильно растянулись из-за перехода к удаленным сотрудникам. Внедрение системы самообслуживания для конечных пользователей для сброса паролей значительно снижает нагрузку на службу поддержки и дает конечным пользователям более быстрое решение.

2. Минимальная длина пароля.

Минимальная длина пароля — это параметр политики паролей, который определяет минимальную длину пароля, которую могут выбрать конечные пользователи. Длина пароля влияет на надежность пароля. Следовательно, определение длины пароля Active Directory помогает гарантировать, что пользователи будут создавать пароли с минимально допустимой длиной. NIST рекомендует, чтобы пароли, выбираемые пользователем, имели минимальную длину 8 символов.

Организации также могут внедрять решения для поощрения пользователей, которые выбирают более длинные пароли, с более расширенными пороговыми значениями, прежде чем потребовать смены пароля. Старение на основе длины — это концепция, которая может способствовать тому, чтобы пользователи выбирали более длинные пароли, повышая безопасность.

3. Взломанная защита паролем

Сегодня злоумышленники используют новые методы для взлома учетных записей конечных пользователей в Active Directory. Они включают в себя использование баз данных взломанных паролей, обнаруженных в темной сети, и использование этих «взломанных паролей» для заполнения учетных данных или атак в стиле «алфавита» на учетные записи пользователей.

Если подумать, то большинство конечных пользователей думают примерно так же, когда дело касается их паролей. Мы все стараемся устанавливать пароли, которые соответствуют требованиям к сложности, установленным системным администратором, и в то же время легко запоминаются. К сожалению, это сходство в том, как мы думаем и создаем пароли, может привести к компрометации пароля.

Два несвязанных пользователя, которые работают в разных организациях, могут придумать один и тот же пароль. Что произойдет, если при утечке данных произойдет утечка пароля первого пользователя? Хотя пароль второго пользователя не был взломан напрямую, теперь он открыт, поскольку он идентичен взломанному паролю. Если злоумышленник получит список взломанных паролей и использует этот список во второй организации, вероятность компрометации учетной записи второго пользователя высока. Этот сценарий иллюстрирует, почему взломанная защита паролем сейчас так важна. Это также является причиной того, что ведущее руководство по кибербезопасности от таких органов, как NIST, изменило свою позицию в отношении периодической смены пароля или устаревания пароля. Обратите внимание следующий:

«Верификаторам НЕ СЛЕДУЕТ требовать произвольного изменения запомненных секретов (например, периодически). Однако верификаторы ДОЛЖНЫ принудительно внести изменения, если есть доказательства компрометации аутентификатора ».

Обратите внимание на вышеизложенное. NIST рекомендует принудительную смену пароля ТОЛЬКО при наличии признаков взлома. Это руководство подразумевает некоторую форму взломанной защиты паролем. Дополнительное руководство от NIST включает следующее:

«При обработке запросов на установление и изменение запомненных секретов верификаторы ДОЛЖНЫ сравнивать предполагаемые секреты со списком, который содержит значения, которые, как известно, являются обычно используемыми, ожидаемыми или скомпрометированными. Например, список МОЖЕТ включать, но не ограничивается:

  • Пароли, полученные из предыдущих корпусов взломов
  • Словарные слова.
  • Повторяющиеся или последовательные символы (например, «aaaaaa», «1234abcd»).
  • Зависящие от контекста слова, такие как название службы, имя пользователя и их производные.

Если выбранный секрет находится в списке, CSP или верификатор ДОЛЖНЫ сообщить подписчику, что им нужно выбрать другой секрет, ДОЛЖНЫ указать причину отказа и ДОЛЖНЫ потребовать от подписчика выбрать другое значение ».

Суть современных политик паролей — они должны обеспечивать защиту от взлома паролей. Взломанные пароли могут легко поставить под угрозу учетные записи высокого уровня, даже если пароли кажутся сложными.

4. Пользовательский словарь паролей.

Еще одна современная характеристика хорошей политики паролей — это настраиваемый словарь паролей. Словари паролей аналогичны по назначению, но отличаются от защиты паролем от взлома. Словари паролей содержат запрещенные пароли, которые конечные пользователи не могут использовать. Это позволяет организации настраивать пароли, которые они не разрешают, например варианты названия компании в пароле пользователя.

Злоумышленники часто используют варианты названия компании и других слов, связанных с организацией, чтобы «думать как пользователь» и угадывать пароли, которые они, возможно, выбрали для использования. Пользовательский словарь создает так называемый фильтр паролей в Active Directory, который фильтрует пароли пользователей и не позволяет пользователям устанавливать пароль, который существует в списке.

В Active Directory отсутствует простой способ реализации фильтров паролей, и для создания необходимых DLL-файлов для правильной реализации фильтра паролей требуются собственные навыки разработки. Кроме того, фильтрация паролей Azure Active Directory также ограничена по набору функций и возможностям. В результате организациям требуются сторонние решения для реализации фильтрации паролей для защиты от часто используемых паролей.

5. История паролей

Ведение журнала паролей, используемых конечными пользователями, не позволяет пользователю быстро использовать один и тот же пароль. Другими словами, вы не хотите, чтобы пользователь менял свой пароль, а затем в следующем интервале он менял пароль обратно на тот, который был раньше. Таким образом, настройка истории паролей определяет количество «запоминаемых» паролей, которые пользователи не могут использовать при смене своих паролей.

Здесь опять же, собственные функциональные возможности Active Directory ограничены. Например, хотя он может запоминать использованные пароли, он не может эффективно блокировать инкрементные пароли (т. Е. Просто добавляя другое число в конец). Требуется стороннее решение для защиты от инкрементного использования пароля в среде.

Современные политики паролей требуют стороннего решения

Active Directory не имеет встроенных функций для реализации защиты от взлома паролем. Кроме того, хотя пользовательские фильтры паролей могут использоваться и реализовываться в Active Directory с помощью библиотеки паролей .dll, для этого требуются опыт разработки и постоянное обслуживание. В результате становится ясно, что для организаций, которые хотят решать проблемы безопасности, связанные с политикой паролей, требуется стороннее решение.

Политика паролей Specops является одним из таких решений, надежным вариантом, который позволяет организациям соответствовать 5 основным принципам правильной политики паролей, как уже говорилось, и многим другим. Кроме того, политика паролей Specops интегрируется с настройками групповой политики Active Directory. Таким образом, он органично вписывается в существующие политики организаций.

Две защиты паролем, которые либо отсутствуют в Active Directory, либо труднодоступны (защита паролем от взлома и пользовательские словари), представляют собой средства защиты, которые политика паролей Specops может помочь вам реализовать всего за несколько щелчков мышью.

Модуль защиты от взлома пароля в политике паролей Specops предоставляет простой способ реализовать защиту от взлома пароля, выходящую за рамки просочившихся списков. Specops Breached Password Protection блокирует использование более 2 миллиардов скомпрометированных паролей, включая те, которые используются сегодня в реальных атаках или которые внесены в списки известных взломанных паролей, что упрощает соблюдение отраслевых норм, таких как NIST или NCSC.

Системы сбора данных по мониторингу атак нашей исследовательской группы ежедневно обновляют сервис и обеспечивают защиту сетей от реальных парольных атак, происходящих прямо сейчас. Служба защиты от нарушения пароля блокирует эти запрещенные пароли в Active Directory с помощью настраиваемого обмена сообщениями конечного пользователя, что помогает сократить количество обращений в службу поддержки.

Политика паролей SPECOPS-1

Защита паролем от Specops, нарушенная политикой паролей, может использоваться через API или через экспресс-загружаемый список.

Опция настраиваемых словарей с политикой паролей Specops обеспечивает простой способ добавления настраиваемых словарей для защиты от целевых парольных атак, которые могут содержать имя вашей организации или другие конфиденциальные фразы.

Политика паролей SPECOPS

Пользовательские словари Specops Password Policy

Какие дополнительные функции можно найти в политике паролей Specops?

  • Информативный обмен сообщениями с клиентом, чтобы конечные пользователи понимали, почему их попытка смены пароля не удалась.
  • Динамическая обратная связь при смене пароля с клиентом аутентификации, предоставляемым Specops
  • Срок действия пароля зависит от его длины.
  • Настраиваемые уведомления по электронной почте
  • Блокировать общие компоненты пароля, такие как имена пользователей, отображаемые имена, определенные слова, последовательные буквы, инкрементные пароли и т. Д.
  • Таргетинг на основе GPO
  • Поддержка использования парольных фраз в качестве паролей
  • Возможности регулярных выражений

Подведение итогов

Требования к политике паролей меняются в связи с постоянно растущими угрозами кибербезопасности. Это изменение отражено в новом руководстве по политике паролей от NIST и других. Уже недостаточно использовать встроенные параметры политики паролей, имеющиеся в Active Directory. Сегодня компаниям необходимо защищаться от таких угроз, как взлом пароля.

Сегодня компаниям необходимо использовать сторонние решения для расширения возможностей Active Directory, чтобы соответствовать пяти основным принципам хорошей политики паролей. Политика паролей Specops — это решение, которое позволяет организациям внедрять фильтры паролей с использованием словарей паролей и защиты паролей от взлома. Кроме того, он включает в себя множество других замечательных функций, которых нет в Active Directory, например, устаревание пароля на основе длины.

Узнать больше о Политика паролей Specops или начните бесплатную пробную версию здесь.

Принципы и практика правильной политики паролей .

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *