Автор
KL FC Bot
Несмотря на все изменения, произошедшие в сфере информационной безопасности за последние десятилетия, одной из главных составляющих защиты данных по-прежнему остаются пароли. А когда мы говорим о паролях, на первый план выходят парольные политики.
В этом посте мы поговорим о том, каких ошибок следует избегать при разработке политики паролей, чтобы обеспечить высокий уровень безопасности аккаунтов и при этом не мучить пользователей попусту фрустрирующими требованиями.
Что такое парольная политика
Политика паролей — это некий комплекс правил, основная цель которого состоит в мотивации пользователей к использованию надежных паролей и правильному обращению с ними. Политика паролей может быть как рекомендацией, так и требованием. Но в наше время чаще используется второй вариант: администраторы онлайн-сервиса или IT-инфраструктуры организаций задают правила, касающиеся тех или иных аспектов паролей, сразу в настройках используемого программного обеспечения.
Правила, входящие в парольную политику, могут быть самыми разнообразными:
Длина пароля — то есть минимальное и максимальное количество символов, из которых должен состоять пароль.
Набор допустимых символов — должен ли пароль включать заглавные и строчные буквы, цифры, спецсимволы, эмодзи и так далее; или наоборот, не включать что-то из перечисленного.
Запрет на те или иные комбинации символов — скажем, на то, чтобы пароль содержал последовательность знаков, совпадающую с названием компании или логином пользователя.
Специфические запреты — например, пароль не может начинаться с единицы, содержать прямую последовательность цифр (борьба с 12345678), не должен совпадать по формату с какими-то легко угадываемыми вещами (дата, телефонный номер, номер автомобиля) и так далее.
Списки запрещенных паролей — таблицы исключений, которые в целом удовлетворяют всем прочим требованиям, но признаны небезопасными по тем или иным причинам: к примеру, запрет на использование паролей, уже фигурировавших в известных утечках.
Срок действия пароля — временной интервал, по истечении которого пользователь должен задать новый пароль.
Запрет на переиспользование паролей — то есть запрет менять пароль на один из уже использованных для данной учетной записи ранее.
Запрет на смену пароля по инициативе пользователя — такая опция может быть использована для борьбы с угонами учетных записей. То есть это защита от смены пароля злоумышленником.
Способ хранения пароля — в частности, явный запрет в организации на всеми любимые стикеры с паролями. Или рекомендация пользоваться менеджером паролей.
Санкции — если какие-то правила парольной политики не получается жестко задать в настройках программного обеспечения, можно принуждать пользователей следовать им с помощью тех или иных административных санкций.
Посмотреть статью полностью
Автор KL FC Bot
Рекомендуемые сообщения