Для контроля за соблюдением парольной политики может применяться несколько технических и организационных мер. К организационным относятся: разработка и внедрение парольной политики, обучение сотрудников с целью доведения политики компании и важности ее соблюдения. Также нужно не забывать о проведении регулярных опросов и тестирований, чтобы убедиться, что сотрудники осведомлены о политике и следуют ей.
К техническим мерам можно отнести внедрение в компании менеджеров паролей, которые генерируют пароли необходимой сложности и обеспечивают удобство для сотрудников в их запоминании.
Также во многих информационных системах есть настройки парольной политики. Зачастую, они определяют требования к длине пароля и составу символов (заглавные и прописные буквы, символы, цифры). Но даже такие настройки не всегда обеспечивают создание действительно сложного и «не словарного» пароля. Ничто не мешает сгенерировать пароль 1qaz@WSX или Password123!@#, который отвечает настройкам парольной политики информационной системы, но будет неустойчив для подбора по словарю.
Есть дополнительные плагины на информационные системы, которые добавляют к параметрам длины и состава пароля проверки по словарям, набор рядом стоящих символов на клавиатуре.
Дополнительно можно проводить проверку в компании, сравнивая хеши действующих паролей со словарями для брутфорса. Необходимо помнить, что подобная активность должна осуществляться с дополнительными мерами безопасности, чтобы хеши паролей сотрудников компании не оказались в чужих руках.
Рекомендации по разработке парольной политики
На основе исследований, проведенных компанией Hive Systems, устойчивый ко взлому пароль выглядит так: длина от 12 символов, состоит из заглавных, строчных букв и цифр. При этом пароль не должен быть словарным словом или простым их сочетанием, а также состоять только из общедоступной информации о пользователе (имя, знак зодиака, число, месяц, год рождения).
Поделиться
