Как создать безопасный пароль?

Как создать безопасный пароль?

Одно из первых и основных правил защиты в информационной безопасности является создание безопасных паролей.

Устаревшие правила безопасности

man-social-worker-helping-elder-grey-haired-woman_3446-371.jpg



Всемирно известные эксперты информационной безопасности, генеральные директора и консультанты по вопросам безопасности каждый раз дают советы по формированию «хороших» паролей:

- Минимум от 8 до 12 символов; более длинные фразы;

- Пароль должен быть сложным и включать по крайней мере три разных набора символов (например, символы верхнего регистра, строчные буквы, цифры или символы);

- Менять каждые 90 дней или меньше.

Сегодня эта «хорошая» политика для паролей может принести неприятности. Компании, которые следуют этому совету, скорее всего, повышают свои риски взлома.


Поведенческий фактор


2 миллиарда пользователей во всем мире имеют одну и ту же модель поведения, шаблон создания новых паролей. Хакеры изучают поведение масс и вскрывают аккаунты пользователей именно по причине устаревших моделей поведения пользователей.

Национального института стандартов и технологий NIST опубликовал обновленные рекомендации по политике безопасности в отношении паролей в форме «Руководства по цифровым удостоверениям», наиболее важным из которых является специальная публикация NIST 800-63-3 . 


illustration-of-cloud-security_1325-29.jpg


Современные требования к безопасным паролям


В соответствующих директивных документах NIST говорит, что нужно использовать многофакторную аутентификацию (MFA) вместо паролей, но если вы собираетесь использовать однофакторные пароли аутентификации, ознакомьтесь с рекомендациями:

- Включите двухфакторную аутентификацию (2FA). 

- Пароль должен состоять из восьми символов (можно чуть больбше), не должен быть слишком длинным.

- Пароль не должен содержать общих или легко угадываемых выражений (например, ваше имя или пароль123).

- Вам не нужно менять свой пароль, если вы не считаете его скомпрометированным.

- Никогда не используйте один и тот же пароль на других сайтах.

Вероятно, вышеупомянутые советы противоречат тому, чему нас всех учили в течение длительного времени. 


Неспешная политика и бюрократия


Несмотря на выход новых правил касательно паролей, все регулирующие органы (например, HIPAA, SOX или PCI-DSS), все программы и режимы аудита по прежнему используют старые политики для паролей.

Администраторы и пользователи на данный момент находятся в трудном положении. Если будут следовать старым правилам, компания будет более подвержена риску успешного злонамеренного взлома. Если будут следовать новым советам, то не пройдут аудит.

  

Когда изменятся правила?


Если хотите что-то сделать с этой ситуацией, напишите в органы, отвечающие за правовые нормы, которые контролируют вашу отрасль. Уточните, когда они планируют обновить свои необходимые рекомендации.  Те же меры нужно предпринять в отношении своих внутренних и внешних аудиторских групп и с ИТ-руководителей. Настало время начать просить обновить устаревшие правила политики паролей.

Все проверяющие и регулирующие органы должны спросить себя, достаточно ли они реагируют на изменения руководства по кибербезопасности. Имеют ли они политику и процедуры, которые легко найти и выполнить, чтобы участники инициировали изменения? Хакеры и вредоносное ПО могут меняться в считанные секунды. Как долго мы должны ждать, пока наши контрольные правила и законы не будут обновлены?

Если мы не будем более оперативно реагировать на наши аудиторские и регулирующие органы, разве мы не будем постоянно нарушать соблюдение нашей безопасности?

04.06.2018

Возврат к списку

КЛИЕНТЫ КОМПАНИИ

Asia
Аеропорт
Волковгеология
AirAstana
Метрополитен
Astel
ЭФКО,
Сентрас Иншуранс
Международный аэропорт Астана
Международный аэропорт Алматы
Bericap Kazakhstan
Метрополитен
Казросгаз
КазМунайГаз
Alina Management
KazConstruction Group
Самрук-Энерго, АО
Amanat Insurance
Nomad Life
KMF