パスワード変更日、エンスクのオフィス、再構成、色
この記事で時空の連続性にギャップが生じていない場合、ヤードは2018年であり、ほとんどの大規模な組織では、パスワードは30〜90日ごとに変更されます。 一定のパスワード変更を強制することでセキュリティが低下するだけで、まったく向上しないというトピックは、Habréで何度も取り上げられています( 1、2、3 )が、通常、特定のケースが議論され、コメントでは、ユーザーが積極的に経験を共有しました、自分のアカウントを保護する方法。
多数の条件付きKeePass +トークンに2要素認証が散在しているという事実は、30〜90日ごとにパスワードを条件付きで変更するよりもはるかに信頼性が高いため、説明なしで理解できます。 しかし、以前の出版物のコメンテーターの一人が適切に指摘したように、そのような「効果的な」手段のイニシアチブは組織の最上部から発せられることが多く、価値のある議論なしでCEOと議論することはより高価です。 したがって、私はアクセス可能な方法で、そのような広範囲で同時に非効果的なプラクティスの足が成長する場所から、それらのために存在する選択肢とそれらが関与するものを広げることを試みることにしました。 おそらく一部の幹部がこの記事を読んだ後、個々の企業で働くことは少し良くなるでしょう。
パスワードを定期的に変更するのはなぜ危険ですか?
パスワード自体はセキュリティ対策であり、クラッキングに対する耐性はあまりありません。 そのため、現在、市場には、2要素または3要素の認証、さまざまなトークン、フラッシュドライブ、および境界を強化し、ハッキングや機密データまたはアカウントへのアクセスの可能性を減らすその他のトリックの手段が数多くあります。 この境界を「強化」するためのプロパガンダ手法の1つは、ユーザーのパスワードを定期的に変更することであると考えられます。これは、理論的には、データベース流出などによる攻撃から保護する必要があります。 これらの推奨事項はすべて、まず、標準化の効果を見逃しています。これについては、数年前に詳しく説明しました。
要するに、パスワードを絶えず強制的に変更すると、現在のパスワードを記憶するだけでなく、それを生成するパターンを持つ人が開発することになります。
ユーザーは、「可変レジスタと特殊文字を使用した強力なパスワード」を際限なく覚える代わりに、それらを控えめに書き留めたり、パターンを使用したりします。 また、新しいパスワードの一意性を確認するすべての従業員に警備員を割り当てることは不可能です。
幹部がパスワードの変更について知る方法
検索エンジンを少し苦しめれば、情報セキュリティのトピックに関する多くの出版物や公式文書を見つけることができます。 それらのいくつかは防虫剤のような臭いがし、他の人はもう少し目を覚まし、ハッキング中の「内部攻撃」とソーシャルエンジニアリングの危険性について話します。 それらはすべて「定期的なパスワード変更」項目によって結合されます。この項目は、ほとんどの場合「このようなシンプルで効果的な方法を忘れないでください」などの言葉で始まります。
根拠にならないように、国内の文献(教育を含む!)の例をいくつか紹介します。また、パスワードの定期的な変更を使用することをお勧めします。
これは、情報セキュリティ2008エディションに関するCMDのスクリーンショットです。 その中で、著者はパスワードの脆弱性を保護手段として認識し、定期的な強制変更と、たとえば安全なデータ伝送チャネルなどの無用な手段によって情報セキュリティを要求しています。
このネットワークは、企業の情報セキュリティを確保するために、「管理者と監督者」向けの有料セミナーとトレーニングを提供しています。 ITセグメントを無視し、たとえばガスケイ酸塩ブロックやその他の工業製品を製造する企業のディレクターまたは所有者が情報セキュリティを担当していると想像した場合、おそらく彼はオープンソースから情報を収集するか、「高度なトレーニング」セミナーに参加します。
私はそのような芽の出来事を批判しません、いいえ。 もちろん、ネットワークの動作、アクセス権の制限、システムと管理のタイムリーな更新に関する有用な情報も提供します。 おそらく、彼らは規制を規定し、施設での「レジーム」の作成に基づいて、情報セキュリティの最も単純な境界を構築するように教えられています。 しかし、100%の確実性で、私たちの愛されていないマントラ「従業員に30日ごとにパスワードを変更させる」がそのようなイベントで定期的に聞こえると言うことができます。
考えてみると、1つの簡単な結論を出すことができます。結局のところ、Windows管理ツールはそのようなポリシーを許可します。 実際、企業ネットワークでのパスワードの定期的な変更は、何年も前に意図的に意図されたものから作成された標準であり、慣性によって存在し続けています。 もう少し掘り下げてみると、パスワードの定期的な変更は、このメカニズムをすぐに使えるマイクロソフト製品だけでなく広く使用されていることがわかります。 パスワードを変更する方法は、他の製品、たとえば「zoo」ソフトウェア1Cにうまく推定されています。 実際、CIS全体の管理者は、「セキュリティ」マニュアルの指示に従って、少なくとも10年間、自分自身と会計士/営業担当者の頭脳を強姦してきました。
同時に、パスワードの定期的な変更を放棄し、1年間正常に無視される覚えられない組み合わせのプロパガンダを放棄することを求める専門家。 たとえば、約2年前、新しい英国国立サイバーセキュリティセンターの責任者であるMartin Chiaranは、複雑なパスワードの絶え間ない変更に反対しました 。 彼は、パスワードを絶えず変更する習慣と、さまざまなサービスに複雑なパスワードを使用するためのヒントを批判し、これを毎月の600桁の数字の暗記と比較しました。 Chiaranによると、パスワードマネージャーまたは単一のパスワードを使用する方がはるかに安全です。パスワードマネージャーは解読するのは困難ですが、覚えておくことができます。
リーダーシップを説得することは可能ですか?
パスワードの定期的な変更は野生のゲームであるとITの現代世界から遠く離れたリーダーを説得する方法は、それほど多くありません。
この方法は、次の2つの理由でこのような人気が高まっていることを理解しておく必要があります。
- これにより、セキュリティに対する誤った感覚が生じ、マネージャの従業員ワークステーションの「セキュリティ」の問題が解決します。
- 比較的高速で無料です。
あらゆる側面、報道機関、セミナーなどで、彼らが何十年もの間パスワードを変更するのは良い考えだと言ってきた場合、それは頭の記憶に預けられるでしょう。 2番目のポイントと併せて、パスワードを変更するという形で「境界」を展開するすべてのコストが、1日ですべてを行うこのシステム管理者を困らせるだけで済むという事実によって制限される場合、すべてが二重に快適で簡単になります。
パスワードの強制変更という形で無料の代替手段がある場合、中年の会社のマネージャーは、トークンまたはワークステーションを保護するその他の物理的手段を購入することに同意しません。 この場合の明らかなシナリオは次のとおりです。そのような実践の失敗を説明し、代替案を提案することです。
定期的なパスワード変更の危険性:
- パスワードは、紙片/日記/モニターに貼られたステッカーに書き込まれ始めます。
- パスワードはテンプレート化されています(パスワードの先頭または末尾で複数の文字が変更されます)。
- パスワードは、最小限の文字制限でも非常に単純化されています。
パスワードの定期的な変更によって生じる主な脅威はすべて、情報セキュリティと境界の内部違反に関連している、つまり、ソーシャルエンジニアリングの面にあると感じることができます。 ナイジェリアのリモートハッカーは、紙に書かれてキーボードの下に隠されているパスワードをスパイすることはありません。 しかし、偶然入ってくる競合他社の従業員やチームからの害虫は簡単です。
内部境界のセキュリティを確保する唯一の真の選択肢は、「1ステーション-1人」の原則の使用、ワークステーションをタイムアウトでブロックする場合のオンラインコンサルティングおよびスタッフサポート、ネットワーク自体内のアクセスポリシーの構築、およびアカウントパスワードの開示/転送の責任の導入です。 後者は、NDAの従業員および請負業者と署名する何らかの理由で、近年のファッションに非常にうまく適合しているので、少なくとも一度は正当化されるようにしてください。
従うべき例としての銀行セクター
オフィス内の情報セキュリティの問題に関するほとんどのマネージャーは、従業員を会社の財産として扱います。つまり、彼らはおそらくサポートを必要としません。 ただし、銀行の構造における「サービスクライアント」の形式のデータセキュリティの例を使用して内部境界の構造を考慮すると、すべてがより明確になります。
考えてみてください。銀行カードのPINコードは4文字しかありませんが、「短すぎ」、クラックしやすいと叫ぶ人はいません。 プラスチックカードの場合、入力試行回数に制限があり、クライアントがデータリーク(スクリマー)を疑った場合やカードを紛失した場合に、すぐにカードをブロックできるため、これは一般的なことです。 また、ユーザーはこれらの機会を積極的に使用します。なぜなら、ユーザーはセキュリティ対策を観察することに興味があり、これらの操作を迅速に実行できることを知っているからです。
つまり、経営者が社内規則の作成と会社の実際の情報セキュリティの確保に懸念がある場合、その時点ですべての従業員が組織のITサービスの「クライアント」になり、それらをサポートするという事実を伝える価値があります。 ほとんどの場合、この役割はシステム管理者が担当します。システム管理者は、組織のITシステムの円滑な機能を既に確保しています。 また、セキュリティ対策がより深刻になるほど、スタッフとインフラストラクチャのコストが増大します。 しかし、何らかの理由で、この単純な真実について黙っておくのが慣習です。
だから私は何をすべきですか?
私たちは、1つの簡単な考えをリーダーシップに伝える必要があります。無料の情報セキュリティはありません。無料では、この方向の活動の外観を作成することしかできません。 他のすべての場合、システム管理者のスタッフの費用が増加し(状態にギャップがある場合は、ダウンタイムが増加します)、ユーザーの問題に迅速に対応し、権限とアクセスの有能なシステムを構築するか、一時的なパスワードを発行するトークンの購入が必要になります/システムへのアクセスが発生します。
前述の比較的無料の代替手段はマスターパスワードのみであり、ユーザーは覚えておくことができ、会社の戦略的なソフトウェアとデータベースにアクセスするためにパスワードマネージャーを漏らす+使用する権利はありません。
実際、私たちは約10年前から話していました。
PS以下は、オフィスワーカー向けのアンケートです。 フリーランサーとリモートワーカーは、明らかな理由でご遠慮ください。