Рекомендации по использованию паролей в регулируемых отраслях: практическое руководство по безопасности.

Рекомендации по использованию паролей сводятся к короткому, почти скучному списку, который действительно работает: используйте менеджер паролей для генерации длинных, уникальных паролей для каждой учетной записи, включите многофакторную аутентификацию (МФА) и никогда не используйте один и тот же пароль в разных сервисах. Для команд в сфере здравоохранения, юриспруденции и финансов наибольший риск редко связан со слишком простым паролем. Наибольший риск представляет собой пароль, который был использован повторно или украден. Большинство взломов учетных записей сейчас начинаются с учетных данных, которые уже есть у злоумышленника, а не с тех, которые он угадал, поэтому реальная цель — исключить повторное использование и добавить второй фактор.

‍

Основные выводы

• Менеджер паролей в сочетании с многофакторной аутентификацией блокирует подавляющее большинство автоматизированных атак по захвату учетных записей. Именно это сочетание, а не запоминание сложных паролей, является основой безопасности паролей.
• Основная уязвимость заключается в повторном использовании паролей. Исследования в отрасли неизменно показывают, что большинство людей используют одни и те же пароли повторно, поэтому одна утечка данных может распространиться на все учетные записи, использующие тот же пароль.
• Слабые пароли обычно предсказуемы, а не случайны. Сезонные изменения, имена питомцев и названия компаний — именно то, что злоумышленники проверяют в первую очередь.
• Угроза сместилась от подбора паролей к их краже, поэтому уникальность и многофакторная аутентификация имеют большее значение, чем просто сложность символов.
• Профессиональные и личные достижения ни в коем случае не должны смешиваться. Раздельное хранение информации сводит к минимуму ущерб, который может возникнуть в случае компрометации какой-либо из сторон.

‍

Каковы лучшие практики использования паролей?

Рекомендации по созданию паролей — это набор привычек и мер контроля, предотвращающих угадывание, взлом, повторное использование или кражу учетных данных. Они охватывают способы создания пароля (длина и случайность), его хранение (в менеджере паролей, а не на стикере, в электронной таблице или браузере), его защиту (многофакторная аутентификация) и способ его передачи (только через защищенные каналы). Современные рекомендации от организаций, занимающихся стандартизацией, отошли от навязывания сложных правил использования символов и частых изменений и перешли к использованию длины, уникальности и надежного второго фактора.

‍

Почему безопасность паролей важна как никогда

Стратегия действий злоумышленников изменилась. Десять лет назад главной проблемой было подбор слабого пароля методом перебора множества комбинаций. Сегодня же более серьезной угрозой является кража учетных данных: злоумышленники получают рабочие пароли через утечки данных, фишинг и вредоносное ПО типа infostealer (программы, которые незаметно собирают сохраненные пароли и данные о сеансах входа с зараженного устройства), а затем просто входят в систему. Согласно отчету Verizon Data Breach Investigations Report, кража учетных данных является одним из наиболее распространенных способов получения злоумышленниками первоначального доступа, а IBM X-Force сообщила о большом количестве вторжений, в которых используются действительные, украденные учетные данные, а не какие-либо эксплойты.

‍

Это важно по одной практической причине. Если злоумышленник может купить или украсть пароль, который уже работает, надежность этого пароля больше не обеспечивает защиту. Защита заключается в том, что пароль уникален (поэтому он не может разблокировать ничего другого) и что между украденным паролем и учетной записью стоит второй фактор. Для регулируемых команд, работающих с конфиденциальными данными, это изменение является главным аргументом в пользу описанных ниже методов.

‍

Что делает пароль надежным?

Три свойства делают пароль надежным: длина, случайность и уникальность. Длина — самое важное. Национальный институт стандартов и технологий США (NIST) в специальной публикации 800-63B-4 рекомендует пароль длиной не менее 15 символов, используемый в качестве однофакторного (и поддерживает длину до 64 символов), в то время как Агентство по кибербезопасности и защите инфраструктуры (CISA) рекомендует стремиться к длине не менее 16 символов. Случайность означает избегание словарных слов и личных данных. Уникальность означает, что для каждой учетной записи должен быть свой пароль.

‍

Полезной альтернативой случайной строке является кодовая фраза: от четырех до семи несвязанных слов, соединенных вместе. Это длинная фраза, которую сложно взломать и гораздо легче запомнить. CISA приводит примеры, например, несколько несвязанных слов, объединенных в одну фразу.

‍

‍

На практике разница заключается в следующем:

‍

‍

Как создать надежный пароль

Самый быстрый и надежный способ — позволить менеджеру паролей сгенерировать пароль за вас. Если же вам все же нужно создать пароль вручную (например, главный пароль для разблокировки менеджера), составьте кодовую фразу:

‍

1. Выберите от четырех до семи случайных, не связанных между собой слов. Избегайте всего, что связано с вами, вашим работодателем или свиданием.
2. Объедините их в одну фразу. Вы можете оставить или удалить пробелы.
3. Увеличивайте длину, а не сложность. Более длинная фраза лучше короткой последовательности символов.
4. Убедитесь, что оно используется строго в одном месте и нигде больше.
5. Никогда не храните пароль в открытом виде. Запомните главный пароль, а остальное пусть хранит администратор.

‍

Избегайте предсказуемых вариантов паролей. Злоумышленники используют словарные атаки (автоматический подбор паролей с использованием списков распространенных слов и известных паролей) и подбор учетных данных (повторное воспроизведение пар «имя пользователя и пароль», полученных в результате других утечек). Распространенные пароли, которые часто попадают в сети, такие как 123456, admin и password (регулярно выявляемые в исследованиях NordPass), мгновенно взламываются, как и контекстные данные, например, имя питомца, название компании или время года и год.

‍

Прекратите повторное использование паролей: самое важное решение.

Если вы измените одну привычку, измените именно эту. Опросы, цитируемые в исследованиях в области безопасности, показывают, что большинство людей повторно используют пароли для нескольких учетных записей (Forbes Advisor приводит данные около 78 процентов), а анализ утечек данных, проведенный SpyCloud, показал, что значительная часть пользователей, чьи данные были скомпрометированы в результате утечек, повторно использовали ранее скомпрометированный пароль. Повторное использование превращает одну утечку в цепную реакцию: одна взломанная учетная запись передает злоумышленнику ключ к вашей электронной почте, а ваша электронная почта становится путем сброса пароля ко всему остальному.

‍

Из этого напрямую вытекают два правила. Во-первых, используйте один пароль для каждой службы, без исключений. Во-вторых, полностью разделяйте рабочие и личные учетные данные. Пароль от вашей стриминговой службы не должен использоваться в корпоративных системах, и корпоративный пароль никогда не должен защищать личную учетную запись. Рассматривайте разделение как меру безопасности, а не как этикет: оно ограничивает радиус поражения, так что взлом с одной стороны не может распространиться на другую.

‍

Что такое менеджер паролей, и стоит ли им пользоваться?

Менеджер паролей — это приложение, которое генерирует, хранит и автоматически заполняет ваши пароли в зашифрованном хранилище. Вы запоминаете один надежный мастер-пароль, а менеджер запоминает все остальные, включая длинные случайные пароли, которые вы никогда не смогли бы запомнить. Он также помечает слабые или повторяющиеся пароли, чтобы вы могли их исправить. CISA и большинство команд безопасности считают менеджер паролей самым простым способом сделать надежными и уникальными пароли для каждой учетной записи.

‍

Существует две основные категории. Personal Менеджеры паролей предназначены для отдельных пользователей и небольших команд. Enterprise Решения, часто являющиеся частью системы управления привилегированным доступом (PAM, практика защиты и мониторинга важных административных учетных данных), добавляют централизованное управление, ограничения доступа, аудит и единый вход (SSO, позволяющий пользователям проходить аутентификацию один раз для доступа к нескольким разрешенным приложениям). Одно предостережение: избегайте использования встроенного хранилища браузера для важных учетных данных, поскольку пароли, хранящиеся в браузере, легче извлечь из скомпрометированного или украденного устройства, чем пароли, хранящиеся в специальном зашифрованном менеджере.

‍

Включите многофакторную аутентификацию (МФА).

Многофакторная аутентификация (МФА) требует, помимо пароля, еще одного подтверждения личности, например, кода из приложения-аутентификатора, аппаратного ключа или биометрической проверки. Поскольку украденного или угаданного пароля недостаточно для взлома, МФА блокирует подавляющее большинство автоматизированных массовых атак, и CISA и Microsoft рекомендуют ее в качестве базовой меры контроля.

‍

Не все факторы одинаково эффективны. Там, где это возможно, отдавайте предпочтение методам, устойчивым к фишингу, основанным на стандартах FIDO2 и WebAuthn, включая ключи доступа (криптографические ключи, привязанные к вашему устройству, которые полностью заменяют пароль и функционируют как самостоятельный метод входа в систему, а не просто как второй фактор). Одноразовые коды, отправляемые по SMS, являются самым слабым общим фактором, поскольку они уязвимы для подмены SIM-карты и атак по протоколу SS7, которые могут перехватывать SMS-сообщения на сетевом уровне, и NIST и CISA не рекомендуют полагаться на них, если существуют более надежные варианты.

‍

Следует ли регулярно менять пароли?

Нет, не по установленному графику, по крайней мере, не для обычных учетных записей пользователей. NIST теперь не рекомендует обязательную периодическую смену паролей для пользователей, поскольку принудительная ротация подталкивает людей к предсказуемым шаблонам (лето 2025 года становится летом 2026 года) и к записи паролей на бумаге. Вместо этого меняйте пароль, когда есть причина: известное или предполагаемое нарушение безопасности, уведомление о взломе или учетные данные, которые вы больше не можете подтвердить. Даже если вы «почти уверены, что все в порядке», подтвержденная утечка — достаточная причина для смены пароля. (Исключение составляют высокопривилегированные административные учетные данные, которые часто меняются регулярно.)

‍

Как безопасно делиться паролями

Иногда учетные данные действительно необходимо передать. В этом случае канал связи так же важен, как и сам пароль. Никогда не отправляйте пароль через Slack, электронную почту или SMS, где он может остаться в истории поиска, быть переслан или раскрыт в случае взлома учетной записи. Вместо этого передайте его через функцию безопасного обмена данными в менеджере паролей, которая обеспечивает шифрование учетных данных и позволяет отозвать доступ позже. Если пароль когда-либо передается через чат или электронную почту, считайте его раскрытым и меняйте его.

‍

Рекомендации по использованию паролей в регулируемых отраслях

Медицинские, юридические и финансовые организации несут дополнительные обязательства, поскольку рассматриваемые учетные записи часто защищают регулируемые данные. В здравоохранении это включает в себя защищенную медицинскую информацию (PHI, персонально идентифицируемые медицинские данные). Существуют нормативные акты, которым помогает соответствовать соблюдение правил безопасности учетных данных. Например, Правила безопасности HIPAA требуют контроля доступа и защиты аутентификации для систем, обрабатывающих PHI, а уникальные учетные данные плюс многофакторная аутентификация являются практическими способами выполнения этих требований. (HIPAA также регулирует отношения с поставщиками посредством...) Business Соглашение об участии (BAA — контракт, возлагающий на поставщика услуг ответственность за защиту конфиденциальной медицинской информации).

‍

Важно помнить об одном моменте: соответствие требованиям и безопасность взаимосвязаны, но не идентичны. Политика паролей может технически удовлетворять требованиям старого контрольного списка, но при этом сохранять реальный риск, а политика, которая выглядит строгой (частые принудительные изменения, сложные правила символов), на практике может оказаться слабее, чем более простая, основанная на длине, уникальности, менеджере паролей и многофакторной аутентификации. Цель для регулируемой команды — разработать политику, которая будет одновременно защищаемой для аудитора и действительно эффективной против современных методов работы злоумышленников. Надежные, уникальные учетные данные, многофакторная аутентификация, безопасный обмен данными и зашифрованное хранилище поддерживают признанные меры контроля в рамках таких стандартов, как HIPAA, SOC 2 и ISO 27001, без ущерба для удобства использования.

‍

Часто задаваемые вопросы

‍

Какой тип пароля является наиболее безопасным?

Самый надежный пароль — длинный, случайный, сгенерированный и сохраненный менеджером паролей, потому что вам никогда не придется его запоминать или вводить. Если же вам все же нужно запомнить пароль, то кодовая фраза из четырех-семи несвязанных слов обеспечит вам одновременно длину и легкость запоминания. В обоих случаях пароль должен быть уникальным для одной учетной записи.

‍

Какие пароли чаще всего следует избегать?

Исследования взломанных учетных данных, такие как ежегодный анализ NordPass, неоднократно выявляют одних и тех же злоумышленников в верхней части списка: 123456, admin и password. Любое отдельное словарное слово, имя или название животного, название компании или время года с последующим годом попадают в одну и ту же ловушку. Это первые попытки автоматической атаки, поэтому следует избегать их.

‍

Безопасны ли менеджеры паролей?

Да, для большинства людей надежный менеджер паролей гораздо безопаснее, чем альтернативы, такие как повторное использование, слабые пароли и стикеры. Хранилище зашифровано, и вам нужно защитить только один надежный мастер-пароль (в идеале, кодовую фразу) с включенной многофакторной аутентификацией. Удобство также делает создание надежных, уникальных паролей вполне реалистичным для десятков учетных записей.

‍

Какой должна быть длина пароля?

Чем длиннее, тем надёжнее. NIST рекомендует использовать пароль для однофакторной аутентификации длиной не менее 15 символов и поддерживает длину до 64 символов, в то время как CISA советует стремиться к длине не менее 16 символов. Кодовая фраза — это простой способ достичь такой длины, не создавая ничего, что невозможно запомнить.

‍

Следует ли мне регулярно менять пароли?

Для обычных учетных записей нет фиксированного графика смены пароля. NIST не рекомендует обязательную периодическую смену пароля, поскольку она способствует предсказуемости поведения. Меняйте пароль только при наличии реального повода, например, уведомления о нарушении безопасности или любых признаках компрометации.

‍

Безопасно ли хранить пароли в браузере?

Для важных учетных записей специальный менеджер паролей безопаснее, чем встроенное хранилище браузера. Пароли, хранящиеся в браузере, легче извлечь с потерянного, украденного или зараженного вредоносным ПО устройства. Используйте функцию сохранения паролей браузера только для малозначимых учетных записей, если вообще ее используете.

‍

Как мне следует поделиться паролем с коллегой?

Используйте функцию безопасного обмена в менеджере паролей, которая сохраняет учетные данные в зашифрованном виде и позволяет отозвать доступ позже. Не отправляйте пароль через Slack, электронную почту или SMS. Если пароль когда-либо передавался по этим каналам, измените его.