Методы защиты при использовании аутентификации по паролю

Для защиты паролей от взлома следует настроить соответствующую политику в Windows Server. Для этого необходимо с помощью меню Start -> Administrative Tools -> Group Policy Management запустить консоль управления групповыми политиками GPMC, выбрать требуемый объект групповой политики раздел Computer Configuration -> Policies -> Security Settings -> Account Policies -> Password Policy

Можно задать минимальную длину пароля, что позволит нам избежать коротких паролей (Minimum password length). Для того чтобы пользователь задавал сложные пароли, следует включить требование сложности (Password must meet complexity requirements). Для обеспечения регулярной смены пароля нужно задать его максимальный срок жизни (Maximum password age). Для того чтобы пользователи не повторяли старые пароли, требуется настроить хранение истории паролей (Enforce password history).

Ну и наконец, для того чтобы пользователь не менял свой пароль на старый путем многократной смены паролей, нужно задать минимальный срок, в течение которого пароль нельзя поменять (Minimum password age).

Для защиты от атаки по словарю настроим блокировку учетной записи при неоднократном неправильном вводе пароля. Для этого необходимо в консоли управления групповыми политиками GPMC выбрать требуемый объект групповой политики раздел Computer Configuration -> Policies -> Security Settings -> Account Policies -> Account Lockout Policy 

Для настройки окончательной блокировки учетной записи (до разблокирования ее администратором) следует задать нулевое значение параметру продолжительности блокировки (Account lockout duration).

В счетчике количества неуспешных попыток входа в сеть (Account lockout threshold) нужно указать требуемое значение. В большинстве случаев приемлемым вариантом является 3–5 попыток входа. Наконец, следует задать интервал сброса счетчика неуспешных попыток (Reset account lockout counter after).

Для защиты от «троянских коней» следует использовать антивирусные средства и блокировку несанкционированного программного обеспечения. Для ограничения возможностей пользователей по внесению вирусов в информационную систему оправданы: настройка запрета на работу с внешними устройствами (CD, DVD, Flash), строгий режим работы UAC, использование отдельно стоящих интернет-киосков на базе компьютеров, не входящих в состав рабочей сети. И наконец, внедрение строгих регламентов работы, определяющих правила работы пользователей в корпоративной сети (запрет передачи своих учетных данных кому бы то ни было, запрет оставлять свои учетные данные в доступных местах, требования обязательной блокировки рабочей станции при оставлении рабочего места и т.п.). В результате мы сможем добиться уменьшение рисков, связанных с нарушением безопасности компании.

Предположим, все это сделано. Тем не менее говорить о том, что нам удалось обеспечить безопасную аутентификацию в своей системе, пока преждевременно.

Человеческий фактор – самая большая угроза

Существуют еще угрозы, справиться с которыми нам не удалось. Одна из наиболее существенных – человеческий фактор. Пользователи наших информационных систем не всегда достаточно сознательны и, несмотря на разъяснения администраторов безопасности, записывают свои учетные данные (имя пользователя и пароль) и не заботятся о секретности этой конфиденциальной информации. 

Как мы можем видеть, в системе внедрены длинные и сложные пароли, и ассоциативный ряд явно не просматривается. Тем не менее пользователи нашли «эффективный» способ запоминания и хранения учетных данных… Вы видите, что в этом случае как раз и сработала особенность, о которой я говорил выше: длинные и сложные пароли записываются и могут храниться ненадлежащим образом.