Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
55
Добавлен:
17.04.2013
Размер:
144.9 Кб
Скачать

ЛЕКЦИЯ 3

Уязвимость паролей.

Работа с паролями. Зачем они нужны?

Такая необходимая на первый взгляд вещь, но как много людей считают пароли надоед­ливой, ненужной ерундой. Очень часто спрашивают: "А зачем нам пароли, разве у нас есть враги?". На это, к сожалению, приходится отвечать: "Да, нельзя доверять кому попало".

Уж поверьте, у меня есть целый список компаний, у которых не было паролей, потому что они всем доверяли. Есть только одна проблема: большинства из них уже не существу­ет! Доверяйте друзьям и семье, но не служащим.

В ответ можно услышать обычное возражение: "Мы каждый день доверяем служащим. потому что у них есть доступ к помещениям и оборудованию, очень редко кто-то крадет компьютеры, так почему же они будут воровать информацию?" Ответ будет очень прост, Доверять можно до определенного момента. Большинство не крадет компьютеры, потому что это сложно и опасно, пропажу сразу замечают. С другой стороны, попробуйте обнару­жить, что у одного из пользователей дома есть незаконные копии документов, хоть оце­нить данные в денежном эквиваленте довольно тяжело.

Раз контролировать доступ к электронной информации сложно, значит нужны хоро­шие пароли, не только для предотвращения посягательств на конфиденциальность, то также для отслеживания возможных нарушителей. Пароли — это отличный механизм для аутентификации легитимных пользователей, которые будут иметь доступ только к дейст­вительно необходимым документам. У каждого дома есть замки и ключи, без них не обой­тись и в эру всеобщей информатизации.

Правила безопасности.

Хотя строгие корпоративные правила и не заставят всех пользователей поменять па­роли, без этих правил никак не обойтись. Люди всегда ищут самый легкий способ решить свои проблемы, и это понятно. Но вот для паролей такой принцип не подходит. Админи­страторы думают, что если существуют строгие правила, то слабых паролей больше не бу­дет. Это очень далеко от истины. Внедряя правила безопасности, важно заранее оценить их реальное влияние на систему, чтобы понять насколько они эффективны.

Правила безопасности объясняют пользователям, что от них требуется и каким прин­ципам следует компания в отношении использования паролей. Профессионалы, конечно, прекрасно понимают, что в пароле должны быть цифры, буквы и специальные символы, но вот что думает об этом среднестатистический пользователь? Для того и нужны прави­ла, содержащие не только требования к паролям, но также разъясняющие их важность и необходимость в повседневной работе, а также рекомендации по выбору паролей. Если человеку отправить сообщение, содержащее сухие и строгие рекомендации, он скорее всего, растеряется, и все останется на своих местах. Но объясните, растолкуйте, да еще примеры приведите — и результат не заставит себя долго ждать.

Другая проблема состоит в принудительном стиле правил. Казалось бы, в рекоменда­циях надо указывать меры, которые будут использованы против нерадивого служащего. Например, в качестве наказания может быть увольнение с работы. Но, с другой стороны, при такой откровенной угрозе пользователи станут относиться к вам с опаской. И, как это ни странно, хорошего в этом тоже немного. Такое начинаешь понимать, когда в компании работает много запуганных и раздраженных этим людей, а значит приходится думать, как бы найти в бюджете на следующий месяц средства для покупки бронежилета. (Как-то раз мне пришлось такое пережить; к сожалению, денег таки не хватило.)

Правила должны быть едиными для всего персонала. Если в них говорится, что невни­мательным к условиям безопасности служащим будут записывать замечания в трудовую книжку, то пусть это относится ко всем обладателям слабых паролей. Очень часто компа­нии сотрясают воздух угрозами и предупреждениями, применяя их только против некоторых служащих. Конечно, начинаются обиды и непонимание, могущие перерасти в от­рытое недовольство. Закон — для всех закон, данный принцип желательно не забывать.

Регламентированные правила нужны и с точки зрения законодательства. Если компа­ния не может работать без жесткой системы защиты, и в качестве наказания к нерадивым служащим будут применяться юридические меры, то на руках всегда будут необходимые документы, в которых все подробно указано. Допустим, хакер взломал систему и выкрал юную информацию, потому что у одного служащего был слабый пароль. Чтобы принять соответствующие меры, компании нужен документ, за ознакомление с которым все бы расписались. Многие упускают из виду аспект личной ответственности за происходящее в фирме. Если вы не следуете принятым в компании правилам, то вы будете нести ответст­венность за их нарушение.

Надежный пароль

Мы постоянно говорим о разнице между надежными и плохими паролями, но что же та­кое нормальный, трудный для угадывания пароль? Прежде чем это обсудить, хотелось бы заметить, что данное определение находится в сильной зависимости от вида коммерции, ме­стоположения, персонала компании и так далее. Я специально обращаю на это внимание, потому что понятие "сложного" пароля отличается в разных условиях его применения.

Все в этом мире меняется, надежные пароли пятилетней давности сейчас выглядят просто несерьезно. Современные компьютерные технологии развиваются с бешеной ско­ростью. А поэтому если 5 лет назад для взлома пароля понадобилось бы несколько лет, то сейчас хватит и часа. Прогресс не стоит на месте, цена на компьютеры постоянно падает, следовательно нужны все более сложные пароли.

Если все обобщить, то вот какими я вижу свойства устойчивого пароля:

I меняется каждые 45 дней;

- длина как минимум 10 символов;

• должен содержать буквы, цифры и специальные символы;

I все символы должны быть представлены в смешанном виде, т.е. abdheus#7 никуда не годится, а нужно нечто вроде fg#g3sAhs5gw;

• не словарное слово;

• не повторяются предыдущие пароли;

• минимальное время до очередного изменения пароля 10 дней;

I после пяти неудачных попыток регистрации пароль блокируется на несколько часов.

Безусловно, некоторые из предложенных способов можно оспорить, так как идеаль­ных решений не существует. Сталкиваясь с проблемой определения нужных паролей, все­гда идешь на компромисс между желаниями пользователей и компании.

Соседние файлы в папке Другие сети от другого Малова