Перейти к содержанию

Плохие парольные политики, и как их избегать | Блог Касперского


Рекомендуемые сообщения

Несмотря на все изменения, произошедшие в сфере информационной безопасности за последние десятилетия, одной из главных составляющих защиты данных по-прежнему остаются пароли. А когда мы говорим о паролях, на первый план выходят парольные политики.

В этом посте мы поговорим о том, каких ошибок следует избегать при разработке политики паролей, чтобы обеспечить высокий уровень безопасности аккаунтов и при этом не мучить пользователей попусту фрустрирующими требованиями.

Что такое парольная политика

Политика паролей — это некий комплекс правил, основная цель которого состоит в мотивации пользователей к использованию надежных паролей и правильному обращению с ними. Политика паролей может быть как рекомендацией, так и требованием. Но в наше время чаще используется второй вариант: администраторы онлайн-сервиса или IT-инфраструктуры организаций задают правила, касающиеся тех или иных аспектов паролей, сразу в настройках используемого программного обеспечения.

Правила, входящие в парольную политику, могут быть самыми разнообразными:

  • Длина пароля — то есть минимальное и максимальное количество символов, из которых должен состоять пароль.
  • Набор допустимых символов — должен ли пароль включать заглавные и строчные буквы, цифры, спецсимволы, эмодзи и так далее; или наоборот, не включать что-то из перечисленного.
  • Запрет на те или иные комбинации символов — скажем, на то, чтобы пароль содержал последовательность знаков, совпадающую с названием компании или логином пользователя.
  • Специфические запреты — например, пароль не может начинаться с единицы, содержать прямую последовательность цифр (борьба с 12345678), не должен совпадать по формату с какими-то легко угадываемыми вещами (дата, телефонный номер, номер автомобиля) и так далее.
  • Списки запрещенных паролей — таблицы исключений, которые в целом удовлетворяют всем прочим требованиям, но признаны небезопасными по тем или иным причинам: к примеру, запрет на использование паролей, уже фигурировавших в известных утечках.
  • Срок действия пароля — временной интервал, по истечении которого пользователь должен задать новый пароль.
  • Запрет на переиспользование паролей — то есть запрет менять пароль на один из уже использованных для данной учетной записи ранее.
  • Запрет на смену пароля по инициативе пользователя — такая опция может быть использована для борьбы с угонами учетных записей. То есть это защита от смены пароля злоумышленником.
  • Способ хранения пароля — в частности, явный запрет в организации на всеми любимые стикеры с паролями. Или рекомендация пользоваться менеджером паролей.
  • Санкции — если какие-то правила парольной политики не получается жестко задать в настройках программного обеспечения, можно принуждать пользователей следовать им с помощью тех или иных административных санкций.

 

Посмотреть статью полностью

Ссылка на комментарий
Поделиться на другие сайты

Господи, пример с SAP просто великолепен. Если что, SAP использовали в т.ч. в России, в т.ч. фирмы, которые вы хорошо знаете. Пока они из России не ушли.

Quote

Одна из самых плохих практик, когда при создании аккаунта вроде бы можно указать пароль любой длины, но в реальности он обрезается до какого-то максимально допустимого количества символов, о котором пользователь не в курсе

И я даже сталкивался в реале с таким. Ввёл пароль в 128 символов и не смог залогиниться

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Umnik сказал:

Ввёл пароль в 128 символов и не смог залогиниться

Он принципиально надёжнее, чем сложный пароль из 25 символов? Насколько целесообразно заморачиваться?

Ссылка на комментарий
Поделиться на другие сайты

19 минут назад, Mrak сказал:

Насколько целесообразно заморачиваться?

Держать память в тонусе ;) Таких паролей штуки 10 и тренировка памяти :) 

В целом особого смысла от таких больших паролей нет, многие сервисы ограничивают длину пароля до 30-40 символов.
40.thumb.PNG.a36b4d034d6cd2ef862731f65d0dc06d.PNG

Изменено пользователем Friend
  • Like (+1) 1
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

13 hours ago, Mrak said:

Он принципиально надёжнее, чем сложный пароль из 25 символов?

Нет. Я просто решил тогда проверить. На сегодня 18+ символов вполне достаточно для хорошего пароля.

13 hours ago, Mrak said:

Насколько целесообразно заморачиваться?

Нет никакого смысла. Я просто могу, вот и всё :)

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Umnik сказал:

Нет никакого смысла. Я просто могу, вот и всё :)

Главное, чтобы потом такой пароль не вводить на устройстве, где еще не установлен менеджер паролей. Как-то сносил систему на макбуке, так для установки КПМ из эпстор сначала надо ввести 30 символов пароля от учетки эпла. Задолбался. С телевизором тоже так нарывался - рутуб надо было открыть с паролем, а на телеки менеджер паролей еще не придумали как ставить.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Мошенники постоянно что-нибудь «раздают»: то бесплатные подписки в Telegram, то криптовалюту, то NFT-кроссовки. В новой схеме все по-простому: «раздают» сразу деньги — точнее, делятся способом, как их якобы законно можно получить.
      Жулики с помощью ИИ создали двухминутный ролик, где «журналИИсты» и одна знаменитость рассказывают байки: «Каждый человек может получить компенсацию, для этого нужно всего лишь…». Читайте эту историю, чтобы узнать, что просят сделать жертв и как теперь мошенники завлекают людей в свои схемы.
      Как действуют мошенники
      В рамках этой кампании были разработаны фишинговые сайты, на которых как раз и размещалось видео. Вы не сможете найти его на YouTube или других видеохостингах (извините, но ради вашей безопасности мы тоже им не поделимся), потому что там подобный ИИ-контент довольно-таки быстро удаляют. С подконтрольными злоумышленникам сайтами все сложнее, особенно когда ссылки на них рассылают в почте и мессенджерах.
      Теперь о самом интересном: о видео. Выглядит оно как свежий выпуск бразильских новостей, но с одним нюансом. Новости — фейковые, они «сняты» без согласия журналистов. Мошенники в качестве фактуры использовали настоящий выпуск новостей, на который наложили закадровую озвучку, сделанную с помощью ИИ, а также синхронизировали движения губ с новым текстом. Итак, ИИ-клоны реальных журналистов рассуждают о «нарушениях», допущенных одним из популярнейших банков страны.
      «Банковские балансы клиентов уменьшаются без всякой причины или даже полностью обнуляются». «Несправедливо блокируются счета». «Процентные ставки по кредитам завышаются». Часть фейковой статьи, созданной ИИ для этой схемы
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Интернет огромен и забрести в нем туда, куда не нужно, — очень легко. Особенно если ты ребенок. Поэтому так важно помогать свои детям ориентироваться в киберпространстве и направлять их в мир доступного и понятного контента. Но как разобраться, что хорошо, а что плохо, если сам слабо ориентируешься в детском контенте?
      На помощь приходит приложение Kaspersky Safe Kids — с его помощью мы собрали статистику за целый год и теперь готовы любому взрослому ответить на вопрос «а что мой ребенок делает в Интернете?».
      Эксперты «Лаборатории Касперского» провели исследование и выяснили, что дети ищут в Сети и на YouTube, какие приложения используют на своих смартфонах, какие игры любят, какую музыку слушают и каких блогеров смотрят. В полной версии отчета вы можете найти ответы на эти и другие связанные вопросы.
      Ищут brainrot-мемы
      Мы выяснили, что категория «Мемы» (4,87%) — в топе контента, который дети ищут на YouTube. Да, в общем списке запросов ожидаемо лидируют музыка (21,11%) и блогеры (17,17%), но мемы (4,87%) следуют прямо за мультиками (6,19%). Что касается вкуса детей в мемах, то они довольно-таки специфичны. Прямо сейчас у детей по всему миру очень популярен brainrot-контент.
      Мемы Italian Brainrot сейчас — номер один у детей всего мира
      Если вы активный пользователь TikTok, то, скорее всего, вас не удивит трехногая акула в кроссовках или крокодил в виде бомбардировщика, а на вопрос «кто сильнее: Tralalero Tralala или Tung Tung Tung Sahur?» вы уверенно назовете своего фаворита. А если вы читаете эти строчки и не поняли ни слова, то объясняем: это главные действующие лица новых brainrot-мемов. Они пришли на смену скибиди туалетам, и их… любят дети по всему миру!
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Июньским вторничным обновлением компания Microsoft среди прочих проблем закрыла CVE-2025-33053, RCE-уязвимость в Web Distributed Authoring and Versioning (WebDAV, расширении протокола HTTP). Microsoft не называет ее критической, однако три факта намекают на то, что установить свежие патчи стоит как можно скорее:
      достаточно высокий рейтинг по шкале CVSS 3.1 — 8,8; замечена эксплуатация в реальных атаках; Microsoft озаботилась выпуском патчей для ряда устаревших, более не поддерживаемых версий своей операционной системы. Что за уязвимость CVE-2025-33053 и что такое WebDAV?
      В какой-то момент пользователям Интернета потребовался инструмент, позволяющий совместно работать над документами и управлять файлами на удаленных веб-серверах. Для решения этой задачи специальная рабочая группа создала DAV, дополнение к протоколу HTTP. Поддержка нового протокола была реализована в том числе в штатном для Windows браузере Microsoft Internet Explorer.
      Казалось бы, в начале 2023 года Internet Explorer был окончательно отключен, однако как мы уже писали, браузер все еще жив. Ряд его механизмов до сих пор используется в сторонних приложениях, да и в новом браузере Microsoft Edge. Поэтому злоумышленники продолжают искать уязвимости, которые можно проэксплуатировать при помощи IE. CVE-2025-33053 — одна из таких. Она позволяет атакующим запустить произвольный код, если жертва кликнет по ссылке и перейдет на контролируемый ими WebDAV-сервер. То есть все что требуется от атакующих — убедить жертву в необходимости перейти по ссылке.
      Точный принцип работы эксплойта под эту уязвимость пока публично не раскрыт, однако по информации исследователей, нашедших CVE-2025-33053, эксплуатация происходит за счет манипуляций с рабочей директорией «легитимного инструмента Windows».
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Современный человек практически не расстается со своими девайсами. Согласно исследованию, проведенному в США аналитической компанией Reviews.org, за 2024 год среднестатистический пользователь потратил на смартфон примерно 2,5 месяца жизни. Это колоссальная цифра, показывающая, насколько глубоко мобильные устройства интегрировались в нашу повседневную жизнь.
      Цифровой детокс — это модное название простого отдыха от экранов и уведомлений, который пойдет на пользу всем, у кого есть смартфон или ноутбук. Согласно обзору десяти исследований, проведенных с 2013 по 2023 год, цифровой детокс способствует улучшению качества сна, удовлетворенности жизнью и субъективного благополучия, а также помогает уменьшить тревогу, стресс, депрессию и зависимость от телефона. К тому же регулярная цифровая разгрузка помогает восстановить способность мозга к длительной концентрации внимания и глубокой обработке информации.
      Однако полное отключение от Сети несет в себе риски для вашей цифровой жизни. Сегодня мы разберемся, как дать голове отдохнуть, сохранив при этом контроль над аккаунтами, устройствами, данными и даже умным домом.
      Что может случиться во время цифрового детокса?
      Всего предусмотреть невозможно, но «постелить соломку» для минимизации последствий некоторых рисков вам вполне по силам. Что это за риски?
      Кража аккаунтов — как обычных, так и экосистемных, вроде аккаунтов «Яндекса», «ВКонтакте», Google, Apple, Samsung, Xiaomi и так далее — через подбор паролей или подмену SIM-карт (SIM Swapping). Несанкционированные подписки и списания средств. Утечка личных данных из-за сливов паролей или отсутствия двухфакторной аутентификации. Угон аккаунтов в мессенджерах и соцсетях. Использование ваших устройств и аккаунтов для рассылки спама. Утеря или кража ваших гаджетов. Бытовые проблемы — взлом квартиры в длительное отсутствие, затопление, утечка газа или пожар.  
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Недавно нашему бывшему коллеге пришла подозрительная нотификация от неизвестного ему сервиса GetGhared. Будучи человеком осторожным, он не стал переходить по ссылке, а сразу переслал уведомление нам. Проанализировав письмо, мы выяснили, что это действительно работа мошенников, а судя по статистике наших почтовых защитных решений, сервис для отправки больших файлов GetShared стал использоваться ими достаточно часто. Рассказываем, как выглядит применение GetShared в атаках, зачем злоумышленникам это нужно и как оставаться в безопасности.
      Как выглядит атака при помощи GetShared
      Жертве приходит вполне обычное, совершенно настоящее уведомление от сервиса GetShared, в котором говорится, что пользователю был прислан файл. В письме указаны название и расширение этого файла — например, в случае с атакой на компанию нашего коллеги это был DESIGN LOGO.rar.
      Пример мошеннического письма, распространяемого через уведомление GetShared
      В сопровождающем тексте применяется стандартная фишинговая уловка — мошенники запрашивают цены на что-то, якобы перечисленное в приложении, а для большей убедительности просят уточнить время доставки и условия оплаты.
       
      View the full article
×
×
  • Создать...