5 вредных советов: как создать пароль пользователя 

Одна из основных составляющих защиты информации — пароли. Свод правил о том, как установить и использовать пароли, называется парольной политикой. Разбираем, какие советы в ней могут навредить, а не способствовать безопасности данных компании.
5 вредных советов: как создать пароль пользователя 
Иллюстрация: Вера Ревина/Клерк.ру

Советы, которым не стоит следовать

Совет 1. Установите строгие требования к длине пароля

В целом, длинную комбинацию символов взломать сложнее, чем короткую. Так сотрудники наверняка будут создавать надежные пароли.

Почему это вредный совет? Категоричные требования к длине паролей могут вызвать нежелательное поведение сотрудников. Например, правило «установить пароль минимум из 14 символов» увеличит вероятность того, что пользователи будут использовать простые повторяющиеся шаблоны, например, «12345671234567». Такие пароли формально соответствуют требованиям, но взламываются легко.

Также, если обязать сотрудников использовать длинные пароли, они могут стараться упростить их, чтобы лучше запомнить, или сохранить в своих документах в незащищенном виде.

Совет 2. Не указывайте, какое правило нарушили пользователи при создании пароля

Бывает, что пароль пользователя не соответствует какому-либо требованию парольной политики. Сотрудник пытается создать пароль, система его не принимает, но пояснений при этом нет. Они особо и не нужны: пусть пользователь попробует еще раз. И незачем тратить время, чтобы описывать все правила создания паролей — так сотрудники тренируют смекалку.

Почему это вредный совет? Далеко не во всех компаниях уделяют внимание информационной безопасности (ИБ), а сотрудники имеют понятие о безопасных паролях. В то же время пренебрежительное отношение к паролям — первый шаг к тому, что конфиденциальная информация компании рано или поздно попадет в руки злоумышленников. Поэтому сотрудников важно обучать азам ИБ. Знакомство с парольной политикой — часть такого обучения. Но чтобы пользователи что-то усвоили, правила должны быть структурированы и изложены в понятной форме. 

Обучайте пользователей правилам ИБ с помощью тренингов на платформе Kaspersky Security Awareness. Это удобный онлайн-инструмент, с помощью которого ваши сотрудники освоят навыки кибербезопасного поведения и научатся применять их в работе.

Попробуйте платформу в работе

Совет 3. Не обязывайте пользователей использовать символы разных типов

Длинный пароль — надежный пароль. А насчет того, что нужно использовать буквы в разном регистре, цифры и неалфавитные символы, пользователи сами догадаются.

Почему это вредный совет? Требование к наличию в пароле разных видов символов не всегда делает его надежным. Пользователи также могут снова обратиться к предсказуемым комбинациям — например, укажут заглавную букву в первой позиции. Такой прием легко угадывается злоумышленниками.

Однако пренебрегать правилом включать разные типы символов в пароль не стоит. Так, добавление по крайней мере одного неалфавитного символа увеличивает пространство подбора, который уже не ограничен одними словами. Значит, и итоговый пароль сложнее взломать.

Платформа Kaspersky ASAP

Это удобная и эффективная онлайн-платформа для повышения осведомленности сотрудников в области IT-безопасности

Совет 4. Не требуйте от сотрудников менять пароли

Пользователю достаточно задать длинный пароль, и больше можно вообще о нем не вспоминать. А паролем, в котором есть цифры, строчные и заглавные символы, сможет пользоваться и новый сотрудник, если предыдущий уволится.

Почему это вредный совет? С одной стороны, слишком строгие требования к сроку действия паролей тоже представляют собой проблему. Пользователи могут выбирать очевидные пароли с комбинацией символов, которая похожа на предыдущую. Например, они могут менять одну только букву или цифру. 

Но раз в полгода или год пароли стоит обновлять. Если сотрудник увольняется, их нужно менять сразу же.

Совет 5. Разрешайте пользователям парольные подсказки

Если сотрудник забыл свой пароль, с помощью подсказки он сможет вспомнить его самостоятельно, а значит, не будет отвлекать IT-отдел от более важных задач.

Почему это вредный совет? На первый взгляд, это удобное решение, но риски, которые оно несет, перевешивают это удобство. Подсказка, которую задает пользователь, может оказаться достаточно очевидной, и взломщики легко получат доступ к информации.

Для организаций ИБ и управление доступами и паролями особенно важно и актуально. Управляйте парольной политикой с помощью надежного IT-продукта. Kaspersky Security для бизнеса — стабильный фундамент вашей системы безопасности.

Что включить в парольную политику

В парольной политике важно соблюдать баланс: с одной стороны, нужно обеспечить достаточный уровень безопасности, но с другой, избежать больших неудобств для пользователей. 

Вот каких правил стоит придерживаться, когда создаете парольную политику:

  • Устанавливайте разумную минимальную длину символов в пароле: хотя бы не короче 8 символов. Максимальное число символов не стоит ограничивать. Во всяком случае, оно может определяться техническими возможностями системы, но не политикой.

  • Не запрещайте пользователям использовать любые подмножества символов. И задайте условие, чтобы хотя бы один символ был неалфавитный. 

  • Давайте пользователям обратную связь при создании пароля в процессе регистрации аккаунта. А если это технически невозможно, ознакомьте пользователя с парольной политикой заранее.

  • Не обменивайтесь с пользователем паролями по незащищенным каналам — например, по электронной почте, если пароли создаются IT-отделом организации. 

  • Вместо парольных подсказок лучше научить сотрудников использовать парольные фразы — это комбинация слов с пробелами или без. Они длиннее, чем набор случайных символов, но легче запоминаются сотрудниками. Важно, чтобы фразы были достаточно сложными, чтобы обеспечить надежную защиту.

  • Менять пароль нужно сразу же, как только появились признаки его компрометации, пользователь уволился или произошла смена ролей пользователей. Если обязать сотрудников менять пароли каждые несколько дней, то это может привести к таким действиям, как добавление символа в конец уже имеющегося пароля или замене одной цифры.

  • При этом можно прописать в парольной политике смену пароля в разумные сроки, например, раз в полгода или год. Так нагрузка на пользователя будет минимальной, но и пароль будет обновляться регулярно.

И еще пару слов о том, как повысить безопасность паролей в организации:

  • Используйте индикаторы надежности пароля. Хоть это и не гарантирует полную безопасность, но помогает ее повысить, а также облегчает пользователю создание комбинации.

  • Установите менеджер паролей. Пароли, которые создаются с его помощью, более надежны, чем придуманные сотрудниками. Кроме того, им не нужно запоминать комбинации, так как они хранятся в менеджере.

  • По возможности используйте двухфакторную аутентификацию, когда сотруднику, чтобы войти в систему, нужно предъявлять два доказательства (фактора). Например, пароль и код из смс-сообщения. Как правило, взломщику получить доступ к двум факторам сложнее.

  • Применяйте современные решения для комплексной ИБ. Например, Kaspersky Security для бизнеса позволяет управлять безопасностью сотрудников благодаря продвинутым инструментам контроля, в том числе автоматическим регулярным напоминаниям об обновлении паролей и автоматической установке обновлений и патчей ПО.

Платформа Kaspersky ASAP

Это удобная и эффективная онлайн-платформа для повышения осведомленности сотрудников в области IT-безопасности

Реклама: АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ИНН 7713140469, erid: LjN8K5Pk2

Комментарии

30
          • Старый ворчун

            классическим паролем стало 1234

            Жена карту в банке получала - банковский робот отказался принять выбранные пин-коды 1234 и 4321.

            • Старый ворчун

              - Не понимаю, как они смогли взломать пароль у меня на ноуте?
              - А что у тебя за пароль был?
              - Год канонизации святого Доминика папой Григорием IX.
              - А это какой год?
              - Тысяча двести тридцать четвёртый.

                • Arhimed0

                  - Год канонизации святого Доминика папой Григорием IX.

                  1234 - высота Ай-Петри еще, легко запомнить ))

                  во, блин... хоть конкурс объявляй на то, что может означать число 1234 !

                • Жанна

                  я только её и знаю ))

      • Arhimed0

        Да ладно, скорее всего у всех один пароль на все сервисы )

        фиг там! ни одного не продублированного. И ни на один нет где либо записанного. Всё на память.

              • Arhimed0

                огда, название сайта с ошибками, как Вы любите )

                ну да: например на клерке из пяти егойных буков, написаны другие 12

                ну и цифры.... день рождения, но цифер 5 штук из которых ни одна не совпала ни с днём, ни месяцем ни годом.

                А так.... Вы почти угадали. Немножко совсем чуть поправить.

                • Виктория В

                  У Вас 17 знаков в пароле? Это много, действительно. Значит, что-то точно что всегда на памяти. Девичья фамилия матери и ее день рождения?

                  • Arhimed0

                    У Вас 17 знаков в пароле?

                    на клерке? да. В других местах другое количество.

                    Девичья фамилия матери и ее день рождения?

                    нет конечно же.

                      • Arhimed0

                        Меняете регулярно?

                        одновременно со штанами ))))))

                        Теперь догадайтесь какого года издания штаны я ношу ))))))

                          • Arhimed0

                            судя по вашей жадности,

                            да не знаете Вы всей моей жадности!

                            вы их с деда еще стянули

                            небольшая поправочка:

                            с дедова деда!

    • Старый ворчун

      главное - запомнить, записать

      И приклеить бумажку к монитору.

      • Юксон

        или положить ее под клавиатуру

      • Arhimed0

        И приклеить бумажку к монитору.

        это ещё что!

        Одна моя бывшая дирехтурша всем подряд раздавала адрес электронной почты нашей организации. Вместе с паролем!

        Я ей стопсят раз говорил: нахрена ты это делаешь? Пароль-то зачем всем подряд?

        А это что бы они заходили и читали!

        ЗАЧЕМ НАШУ ПОЧТУ читать посторонним??? Послать письмо - так они по адресу пошлют, его - конечно надо сообщить. А пароль - это что бы зайти в нашу почту и ей пользоваться

        - Ну вот они же должны зайти что бы прочесть!....

        и так по кругу

        И так и раздавала постоянно всем!

        • Жанна

          феерично 🤣

«Где маркировка? — Какая маркировка?» Как мы за неделю спасли клиента от штрафов и конфискации товара

Находишь поставщиков в другой стране, закупаешь продукцию на несколько миллионов, а потом бац! Таможенники грозят отобрать всю партию, потому что на ней нет кодов маркировки. Показываем на примере, как решить проблему и пересечь границу.

«Где маркировка? — Какая маркировка?» Как мы за неделю спасли клиента от штрафов и конфискации товара

Курсы повышения
квалификации

22
Официальное удостоверение с занесением в госреестр Рособрнадзора

ФНС предложили автоматически возвращать пошлину, если услуга не была оказана

Государственные органы не возвращают пошлину, если госуслуга не была получена. Это попросили изменить и внедрить автоматический возврат денег в течение 30 дней.

👶 Женщинам за рождение детей до 25 лет хотят платить 200 000 рублей. А как мы своих на 50 руб. пособия вырастили и когда работать!? — возмущаются у нас в ВК

Депутаты фракции ЛДПР внесли в Госдуму законопроект о единовременной выплате пособия в 200 000 рублей женщинам, которые родили до 25 лет.

Лучшие спикеры, новый каждый день

Подпись по СМС! Разве это законно?

Простая электронная подпись (ПЭП) — удобное средство, позволяющее подтверждать подлинность документов и автоматизировать процессы аутентификации. С помощью уникального кода из СМС или других средств можно уверенно ставить электронные подписи, соблюдая все требования закона. Это делает ПЭП важным инструментом в современном цифровом мире.

Подпись по СМС! Разве это законно?

В Euroclear заявили, что депозитарий не участвует в выкупе акций

Депозитарий предупредил инвесторов, что они участвуют в процессе выкупа заблокированных активов на свой страх и риск.

76% предприятий провели импортозамещение

Малый и средний бизнес нашел варианты импортозамещения товаров из недружественных стран. Компании применяют как российские аналоги, так и продукцию азиатских производителей.

Опытом делятся эксперты-практики, без воды

🔥 Станьте звездой на «Клерке»! Теперь авторы могут увеличить охват своего блога

Если хотите продвинуть свой материал в Трибуне* и стать более известным автором, теперь это легко сделать.

У бизнеса будет больше оснований для пересмотра решений ФАС

Госдума расширит список существенных обстоятельств, которые позволяют пересмотреть содержание или порядок исполнения предписания Антимонопольной службы.

Воду в офис можно без проблем учесть в расходах

На общей системе налогообложения (ОСНО) можно применить в расход покупку воды в офис.

Депутаты хотят сократить женщинам работу по пятницам

Сотрудницы бюджетной сферы смогут уходить домой в пятницу на 2 часа раньше. Это позволит им больше отдыхать и проводить время с семьей.

До 27 мая надо сдать уведомление по ЕНП на НДФЛ

Очередной срок сдачи ЕНП-уведомления – в понедельник. Там будет НДФЛ за период с 01.05.2024 по 22.05.2024.

Мемы от великих художников. Пятничный пост для поднятия настроения

Продолжаем собирать в копилку мемы от художников. Ловите подборку картин, которые отлично подходят для бухгалтерских и не только мемов.

Мемы от великих художников. Пятничный пост для поднятия настроения
Миникурсы, текстовые и видеоинструкции для бухгалтеров

Курс евро на Мосбирже упал ниже 97 рублей

Доллар торгуется за 89,6 рубля, а юань стоит 12,3 рубля.

Нормирование трудозатрат на выполнение типовых бухгалтерских операций

Продолжаем серию статей про ценообразование бухгалтерских услуг. В прошлой части мы поговорили о трудоемкости бухгалтерских услуг и методах ее расчета. Теперь нам предстоит более подробно остановиться на вопросе нормирования трудозатрат на выполнение типовых бухгалтерских операций.

Нормирование трудозатрат на выполнение типовых бухгалтерских операций

🧠Мозгонапрягатель. С пятницей, коллеги

Задачка сегодня зо звездочкой. Давайте разбираться вместе.

🧠Мозгонапрягатель. С пятницей, коллеги

Онлайн-кассы, смарт-терминалы, ОФД по 54-ФЗ в 2024 году: обзор компаний

По закону без онлайн-кассы и договора с оператором фискальных данных не может функционировать практически ни одно предприятие сферы розничной торговли, общепита и услуг. В нашем обзоре собрали компании, которые не только продают кассы, но и оказывают поддержку, занимаются настройкой и сопутствующим оборудованием, облачными кассами и сопровождением.

Иллюстрация: Вера Ревина/Клерк.ру
УСН

Два способа обналичивания на упрощенке

Есть законные варианты обналичивания средств организации на УСН.

Ускоренный порядок возмещения НДС в 2024 году

Организации, которые предъявляют НДС к возмещению из бюджета, очень рассчитывают на эти деньги и хотят получить их как можно скорее. В 2022 году законодатель упростил эту процедуру. Расскажем, как бизнесу воспользоваться ускоренным порядком возмещения НДС.

Ускоренный порядок возмещения НДС в 2024 году

Власти снова заговорили о туристическом налоге

Минфин России рассматривает возможность преобразования курортного сбора в туристический налог.

Интересные материалы

46% работодателей согласны участвовать в финансировании пенсионных накоплений сотрудников

Пока что для компаний, готовых софинансировать участие своих сотрудников в программе долгосрочных сбережений, нет налоговых льгот, но они могут появиться.