Советы, которым не стоит следовать
Совет 1. Установите строгие требования к длине пароля
В целом, длинную комбинацию символов взломать сложнее, чем короткую. Так сотрудники наверняка будут создавать надежные пароли.
Почему это вредный совет? Категоричные требования к длине паролей могут вызвать нежелательное поведение сотрудников. Например, правило «установить пароль минимум из 14 символов» увеличит вероятность того, что пользователи будут использовать простые повторяющиеся шаблоны, например, «12345671234567». Такие пароли формально соответствуют требованиям, но взламываются легко.
Также, если обязать сотрудников использовать длинные пароли, они могут стараться упростить их, чтобы лучше запомнить, или сохранить в своих документах в незащищенном виде.
Совет 2. Не указывайте, какое правило нарушили пользователи при создании пароля
Бывает, что пароль пользователя не соответствует какому-либо требованию парольной политики. Сотрудник пытается создать пароль, система его не принимает, но пояснений при этом нет. Они особо и не нужны: пусть пользователь попробует еще раз. И незачем тратить время, чтобы описывать все правила создания паролей — так сотрудники тренируют смекалку.
Почему это вредный совет? Далеко не во всех компаниях уделяют внимание информационной безопасности (ИБ), а сотрудники имеют понятие о безопасных паролях. В то же время пренебрежительное отношение к паролям — первый шаг к тому, что конфиденциальная информация компании рано или поздно попадет в руки злоумышленников. Поэтому сотрудников важно обучать азам ИБ. Знакомство с парольной политикой — часть такого обучения. Но чтобы пользователи что-то усвоили, правила должны быть структурированы и изложены в понятной форме.
Обучайте пользователей правилам ИБ с помощью тренингов на платформе Kaspersky Security Awareness. Это удобный онлайн-инструмент, с помощью которого ваши сотрудники освоят навыки кибербезопасного поведения и научатся применять их в работе.
Совет 3. Не обязывайте пользователей использовать символы разных типов
Длинный пароль — надежный пароль. А насчет того, что нужно использовать буквы в разном регистре, цифры и неалфавитные символы, пользователи сами догадаются.
Почему это вредный совет? Требование к наличию в пароле разных видов символов не всегда делает его надежным. Пользователи также могут снова обратиться к предсказуемым комбинациям — например, укажут заглавную букву в первой позиции. Такой прием легко угадывается злоумышленниками.
Однако пренебрегать правилом включать разные типы символов в пароль не стоит. Так, добавление по крайней мере одного неалфавитного символа увеличивает пространство подбора, который уже не ограничен одними словами. Значит, и итоговый пароль сложнее взломать.
Платформа Kaspersky ASAP
Это удобная и эффективная онлайн-платформа для повышения осведомленности сотрудников в области IT-безопасности
Совет 4. Не требуйте от сотрудников менять пароли
Пользователю достаточно задать длинный пароль, и больше можно вообще о нем не вспоминать. А паролем, в котором есть цифры, строчные и заглавные символы, сможет пользоваться и новый сотрудник, если предыдущий уволится.
Почему это вредный совет? С одной стороны, слишком строгие требования к сроку действия паролей тоже представляют собой проблему. Пользователи могут выбирать очевидные пароли с комбинацией символов, которая похожа на предыдущую. Например, они могут менять одну только букву или цифру.
Но раз в полгода или год пароли стоит обновлять. Если сотрудник увольняется, их нужно менять сразу же.
Совет 5. Разрешайте пользователям парольные подсказки
Если сотрудник забыл свой пароль, с помощью подсказки он сможет вспомнить его самостоятельно, а значит, не будет отвлекать IT-отдел от более важных задач.
Почему это вредный совет? На первый взгляд, это удобное решение, но риски, которые оно несет, перевешивают это удобство. Подсказка, которую задает пользователь, может оказаться достаточно очевидной, и взломщики легко получат доступ к информации.
Для организаций ИБ и управление доступами и паролями особенно важно и актуально. Управляйте парольной политикой с помощью надежного IT-продукта. Kaspersky Security для бизнеса — стабильный фундамент вашей системы безопасности.
Что включить в парольную политику
В парольной политике важно соблюдать баланс: с одной стороны, нужно обеспечить достаточный уровень безопасности, но с другой, избежать больших неудобств для пользователей.
Вот каких правил стоит придерживаться, когда создаете парольную политику:
Устанавливайте разумную минимальную длину символов в пароле: хотя бы не короче 8 символов. Максимальное число символов не стоит ограничивать. Во всяком случае, оно может определяться техническими возможностями системы, но не политикой.
Не запрещайте пользователям использовать любые подмножества символов. И задайте условие, чтобы хотя бы один символ был неалфавитный.
Давайте пользователям обратную связь при создании пароля в процессе регистрации аккаунта. А если это технически невозможно, ознакомьте пользователя с парольной политикой заранее.
Не обменивайтесь с пользователем паролями по незащищенным каналам — например, по электронной почте, если пароли создаются IT-отделом организации.
Вместо парольных подсказок лучше научить сотрудников использовать парольные фразы — это комбинация слов с пробелами или без. Они длиннее, чем набор случайных символов, но легче запоминаются сотрудниками. Важно, чтобы фразы были достаточно сложными, чтобы обеспечить надежную защиту.
Менять пароль нужно сразу же, как только появились признаки его компрометации, пользователь уволился или произошла смена ролей пользователей. Если обязать сотрудников менять пароли каждые несколько дней, то это может привести к таким действиям, как добавление символа в конец уже имеющегося пароля или замене одной цифры.
При этом можно прописать в парольной политике смену пароля в разумные сроки, например, раз в полгода или год. Так нагрузка на пользователя будет минимальной, но и пароль будет обновляться регулярно.
И еще пару слов о том, как повысить безопасность паролей в организации:
Используйте индикаторы надежности пароля. Хоть это и не гарантирует полную безопасность, но помогает ее повысить, а также облегчает пользователю создание комбинации.
Установите менеджер паролей. Пароли, которые создаются с его помощью, более надежны, чем придуманные сотрудниками. Кроме того, им не нужно запоминать комбинации, так как они хранятся в менеджере.
По возможности используйте двухфакторную аутентификацию, когда сотруднику, чтобы войти в систему, нужно предъявлять два доказательства (фактора). Например, пароль и код из смс-сообщения. Как правило, взломщику получить доступ к двум факторам сложнее.
Применяйте современные решения для комплексной ИБ. Например, Kaspersky Security для бизнеса позволяет управлять безопасностью сотрудников благодаря продвинутым инструментам контроля, в том числе автоматическим регулярным напоминаниям об обновлении паролей и автоматической установке обновлений и патчей ПО.
Платформа Kaspersky ASAP
Это удобная и эффективная онлайн-платформа для повышения осведомленности сотрудников в области IT-безопасности
Реклама: АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ИНН 7713140469, erid: LjN8K5Pk2
Комментарии
30Про длинный пароль интересно)) никогда не задумывалась
В паролях главное - запомнить, записать и так далее😏
Да ладно, скорее всего у всех один пароль на все сервисы )
qwert🤔
на этой неделе классическим паролем стало 1234
Жена карту в банке получала - банковский робот отказался принять выбранные пин-коды 1234 и 4321.
8 единиц уже не самый модный? Удивлена
122333
1234 - высота Ай-Петри еще, легко запомнить ))
во, блин... хоть конкурс объявляй на то, что может означать число 1234 !
я только её и знаю ))
фиг там! ни одного не продублированного. И ни на один нет где либо записанного. Всё на память.
название сайта и день рождения? )
нет конечно же.
Тогда, название сайта с ошибками, как Вы любите )
ну да: например на клерке из пяти егойных буков, написаны другие 12
ну и цифры.... день рождения, но цифер 5 штук из которых ни одна не совпала ни с днём, ни месяцем ни годом.
А так.... Вы почти угадали. Немножко совсем чуть поправить.
У Вас 17 знаков в пароле? Это много, действительно. Значит, что-то точно что всегда на памяти. Девичья фамилия матери и ее день рождения?
на клерке? да. В других местах другое количество.
нет конечно же.
Меняете регулярно?
одновременно со штанами ))))))
Теперь догадайтесь какого года издания штаны я ношу ))))))
судя по вашей жадности, вы их с деда еще стянули
да не знаете Вы всей моей жадности!
небольшая поправочка:
с дедова деда!
И приклеить бумажку к монитору.
или положить ее под клавиатуру
это ещё что!
Одна моя бывшая дирехтурша всем подряд раздавала адрес электронной почты нашей организации. Вместе с паролем!
Я ей стопсят раз говорил: нахрена ты это делаешь? Пароль-то зачем всем подряд?
А это что бы они заходили и читали!
ЗАЧЕМ НАШУ ПОЧТУ читать посторонним??? Послать письмо - так они по адресу пошлют, его - конечно надо сообщить. А пароль - это что бы зайти в нашу почту и ей пользоваться
- Ну вот они же должны зайти что бы прочесть!....
и так по кругу
И так и раздавала постоянно всем!
феерично 🤣
https://www.anekdot.ru/id/661794/
Да, да! И еще специальные символы ))