Темы

Прочная основа: Защита учетных записей и устройств

Защищенные учетные записи: пароли и двухфакторная аутентификация

Последнее обновление: июль 2022 г.

Современный мир таков, что у вашей организации и ее сотрудников могут быть десятки, если не сотни учетных записей, взлом которых может привести к раскрытию конфиденциальной информации или даже нанести вред лицам из группы риска. Подумайте о различных учетных записях, которые могут быть у отдельных сотрудников и организации в целом: электронная почта, мессенджеры, социальные сети, онлайн-банкинг, облачное хранилище данных, а также магазины одежды, местные рестораны, газеты и многие другие веб-сайты, которые вы посещаете, и приложения, которые вы используете. В наше время обеспечение должного уровня безопасности требует тщательного подхода к защите всех этих учетных записей от атак. Все начинается с обеспечения надлежащей гигиены паролей и использования двухфакторной аутентификации во всей организации.

Безопасные аккаунты и парламенты

Безопасные аккаунты и парламенты

Широко разрекламированный взлом SolarWinds, обнаруженный в конце 2020 года и скомпрометировавший более 250 организаций, включая большинство правительственных ведомств США, поставщиков технологий, таких как Microsoft и Cisco, а также неправительственные организации, отчасти стал результатом того, что хакеры угадали неверные пароли, которые использовались для важных учетные записи администратора. В целом около 80 процентов всех взломов происходит из-за слабых или повторно используемых паролей.

Поскольку распространенность подобных взломов паролей растет, а злоумышленникам всех типов становится легче получить доступ к сложным инструментам взлома паролей, передовые методы работы с паролями и двухфакторная аутентификация становятся обязательными мерами безопасности для всех организаций, включая парламенты. Ни один инцидент не иллюстрирует это более наглядно, чем атака 2017 года против системы электронной почты британского парламента. В этом инциденте неверная практика использования паролей со стороны небольшого, но значимого числа депутатов привела к раскрытию учетных записей электронной почты и разговоров, утечке тысяч учетных данных и огромным сбоям в работе парламента. По данным пресс-службы британского парламента, взломанные учетные записи были «скомпрометированы в результате слабых паролей, которые не соответствуют рекомендациям Парламентской цифровой службы».

Как создать надежный пароль?

Существует три составляющие хорошего, надежного пароля: длина, произвольность и уникальность.

Длина:

Чем длиннее пароль, тем сложнее противнику его подобрать. В наши дни большинство взломов паролей осуществляется с помощью компьютерных программ, и этим гнусным программам не требуется много времени, чтобы взломать короткий пароль. Следовательно, нужно, чтобы пароль содержал минимум 16 символов или минимум пять слов, а лучше – еще больше.

Произвольность:

Даже длинный пароль не годится, если противник легко может его угадать. Не указывайте такую информацию, как ваш день рождения, родной город, любимые занятия и другие личные факты, которые посторонний может легко узнать, просто воспользовавшись поиском в Интернете. 

Уникальность:

Пожалуй, наиболее распространенная «наихудшая практика» управления паролями – это использование одного и того же пароля для нескольких сайтов. Повторяющиеся пароли – серьезная проблема, поскольку взлом одной учетной записи автоматически означает уязвимость остальных учетных записей, для которых используется тот же пароль. Использование одной и той же парольной фразы для нескольких сайтов умножает негативные последствия каждой отдельной ошибки или утечки данных. Может, вы и не переживаете из-за своего пароля для локальной библиотеки, но если вы используете тот же пароль для более конфиденциальной учетной записи, то в случае взлома может быть украдена важная информация.

Простой способ создать надежный пароль с учетом всех важных составляющих (длина, произвольность и уникальность) заключается в том, чтобы использовать три или четыре обычных слова в абсолютно произвольной комбинации. Например, так: «цветок лампа зеленый медведь». Такой пароль легко запомнить, но сложно угадать. Можете посетить вот этот веб-сайт от Better Buys, чтобы убедиться, как быстро можно взломать ненадежный пароль.

Воспользуйтесь менеджером паролей

Итак, вы понимаете важность того, чтобы все люди в организации использовали для каждой из своих личных и корпоративных учетных записей длинные, произвольные и разные пароли, но как осуществить это на практике? Запомнить надежные пароли для десятков (если не сотен) учетных записей невозможно, поэтому всем приходится идти на хитрости. И самая неудачная из них – использовать повторяющиеся пароли. К счастью, вместо этого можно задействовать цифровые менеджеры паролей, что существенно упростит жизнь (и обезопасит работу с паролями). Такие приложения способны создавать, хранить и управлять паролями для вас и всей вашей организации, и ко многим из них можно получить доступ с компьютера или мобильного устройства. При использовании надежного менеджера паролей вам понадобится запомнить только один очень надежный, длинный пароль – так называемый «основной пароль» (его принято называть «мастер-пароль»), и при вы будете пользоваться всеми преимуществами в смысле безопасности, которые дает использование надежных, уникальных паролей для всех ваших учетных записей. С помощью этого основного пароля (а в идеале – еще и двухфакторной аутентификации (2FA), речь о которой пойдет в следующем разделе) вы будете открывать свой менеджер паролей паролей, чтобы разблокировать доступ ко всем остальным паролям. Помимо прочего, менеджеры паролей могут быть общими для нескольких учетных записей, что упрощает безопасный обмен паролями в организации.

Зачем использовать что-то новое? Неужели нельзя просто записать пароли на листочке бумаги или внести их в электронную таблицу на компьютере?

К сожалению, множество общепринятых подходов к управлению паролями не являются безопасными. Пароли, записанные на бумаге, могут украсть или подсмотреть, их легко потерять или сделать нечитабельными (если только вы не держите их в закрытом сейфе). Сохранение паролей в электронном документе на компьютере значительно упрощает для хакера – или для лица, укравшего компьютер – получение доступа как к самому устройству, так и ко всем вашим учетным записям. Использовать надежный менеджер паролей так же просто, как и обычный документ, но при этом он намного надежнее. 

Почему мы должны доверять менеджеру паролей?

Качественные менеджеры паролей (при наличии в организации квалифицированных специалистов по безопасности) способны максимально обезопасить системы. Кроме того, хорошие приложения для управления паролями (некоторые из таких рекомендованы ниже) настроены так, что они не могут «разблокировать» ваши учетные записи. Это означает, что в большинстве случаев, даже в случае взлома или юридического принуждения к передаче информации, утеря или передача паролей сторонним лицам невозможны. Кроме того, важно помнить, что у противника гораздо больше шансов угадать ненадежный или повторяющийся пароль либо получить доступ к паролю в случае утечки данных в открытый доступ, чем взломать систему безопасности надежного менеджера паролей. Важно быть скептиком: вы определенно не должны слепо доверять любому программному обеспечению и приложениям, но у авторитетных менеджеров паролей есть все необходимые механизмы для надлежащей работы.

А как насчет хранения паролей в браузере?

Хранение паролей в браузере не имеет ничего общего с использованием надежного менеджера паролей. Иными словами, не стоит использовать Chrome, Firefox, Safari или любой другой браузер в качестве менеджера паролей. Безусловно, это лучше, чем записывать пароли на бумаге или сохранять в электронной таблице, однако базовые функции хранения паролей веб-браузера оставляют желать лучшего с точки зрения безопасности. Подобные недостатки также существенно снижают удобство для пользователя по сравнению с надежным менеджером паролей. А неудобства заставляют людей снова возвращаться к ненадежным методам создания и обмена паролями в организации.

К примеру, в отличие от специализированных менеджеров паролей, встроенные в браузеры функции «сохранить этот пароль» или «запомнить этот пароль» не предлагают простой совместимости с мобильными устройствами, кроссбраузерности и надежных инструментов для создания и проверки паролей. Наличие таких функций значительно увеличивает пользу специализированного менеджера паролей для безопасности вашей организации. В менеджерах паролей также предусмотрены внутрикорпоративные функции (например, совместное использование паролей), что повышает уровень безопасности не только отдельного пользователя, но и организации в целом.

Если вы сохраняли пароли в браузере (намеренно или ненамеренно), найдите время, чтобы удалить их.

Поле «Сохранить пароль»bitwarden

Вместо того чтобы использовать для хранения паролей браузер (например, Chrome, слева), воспользуйтесь специализированным менеджером паролей (например, Bitwarden, справа). В менеджерах паролей предусмотрены функции, которые сделают работу вашей организации более безопасной и удобной.

Какой менеджер паролей лучше выбрать?

Существует множество надежных инструментов для управления паролями, которые можно настроить менее чем за 30 минут. Если вы ищете надежное онлайн-решение для своей организации, к которому можно получать доступ с нескольких устройств в любое время, попробуйте 1Password (от 2,99 долл. США за пользователя в месяц) или бесплатный менеджер паролей с открытым кодом Bitwarden. Оба этих решения отличаются надежной поддержкой и широко рекомендуются. 

An online option like Bitwarden can be great for both security and convenience. Bitwarden, к примеру, поможет создавать надежные уникальные пароли и получать доступ к паролям с нескольких устройств с помощью расширения браузера и мобильного приложения. В платной версии Bitwarden (10 долл. США в год) также предусмотрена функция создания отчетов о повторяющихся, слабых и предположительно взломанных паролях, чтобы вы всегда были в курсе последних событий. Установив свой основной пароль (так называемый «мастер-пароль»), активируйте двухфакторную аутентификацию, чтобы обеспечить максимальный уровень защиты хранилища менеджера паролей.

Очень важно соблюдать все меры безопасности при использовании менеджера паролей. Например, если вы используете расширение браузера менеджера паролей паролей или выполняете вход в личный кабинет Bitwarden (или любого другого менеджера паролей) на устройстве, не забывайте выходить из системы после работы, если данное устройство используется кем-то еще или если вы полагаете, что его могут украсть. Оставляя компьютер или мобильное устройство без присмотра, обязательно выходите из личного кабинета менеджера паролей. При совместном использовании паролей в организации обязательно закрывайте доступ к паролям (и меняйте сами пароли) после увольнения сотрудников. Вы же не хотите, чтобы у вашего бывшего сотрудника сохранился доступ, например, к паролю к странице Facebook вашей организации.

Что если кто-то забудет свой основной пароль?

Основной пароль необходимо помнить. Надежные системы для управления паролями, включая рекомендованные выше, не запомнят ваш основной пароль за вас и не позволят вам сбросить его напрямую с помощью электронной почты, как это можно делать для веб-сайтов. Это важная функция безопасности, но она требует от вас обязательно запомнить ваш основной пароль при первой настройке менеджера паролей. Чтобы облегчить себе эту задачу, попробуйте настроить ежедневное напоминание основного пароля при создании учетной записи в парольном менеджере. 

Дополнительно: использование менеджера паролей для вашего парламента

Внедрение менеджера паролей в организации поможет улучшить методы работы с паролями и обеспечить доступ всех сотрудников к менеджеру паролей (и его использование). Вместо того чтобы требовать от каждого сотрудника использовать отдельный менеджер паролей, рассмотрите возможность инвестирования в «командный» или «бизнес-план». Например, тарифный план Bitwarden «корпоративная команда» стоит 3 доллара США за пользователя в месяц. Выбрав его (или другой корпоративный тарифный план менеджера паролей типа 1Password), вы получите возможность управлять всеми общими паролями в организации. Использование корпоративного менеджера паролей повышает не только уровень безопасности, но и уровень удобства для сотрудников. Вы можете безопасно обмениваться учетными данными с разными учетными записями пользователей в самом менеджере паролей. А в Bitwarden, к примеру, корпоративный тарифный план также предусматривает удобные функции сквозного шифрования текста и общего доступа к файлам под названием «Bitwarden Send». Обе эти функции улучшают контроль вашей организации над тем, кто может видеть пароли и делиться ими, а также повышают безопасность совместного использования учетных данных для всей команды или групповых учетных записей. Настроив внутрикорпоративный менеджер паролей для всех сотрудников организации, позаботьтесь о том, чтобы определенное лицо отвечало за удаление учетных записей сотрудников и изменение всех общих паролей, когда эти сотрудники покидают команду.

Two Factor Authentication

Что такое двухфакторная аутентификация?

Несмотря на надлежащую гигиену паролей, хакеры слишком часто их обходят. Чтобы защитить свои учетные записи от ряда распространенных в современном мире хакерских атак, потребуется еще один уровень защиты. Именно здесь в игру вступает многофакторная или двухфакторная аутентификация, также именуемые MFA или 2FA.

Существует немало замечательных руководств и ресурсов, объясняющих двухфакторную аутентификацию, в том числе статья Martin Shelton Двухфакторная аутентификация для начинающих и Полевое руководство по кибербезопасности на выборах 101 от Center for Democracy & Technology. Данный раздел в значительной степени перекликается с обоими указанными ресурсами и объясняет важность внедрения 2FA в организации.

Иными словами, 2FA усиливает безопасность учетной записи, требуя для доступа ввод второй части информации – это нечто большее, чем просто пароль. Как правило, вторая часть информации – это полученные данные, например код из приложения на телефоне, физический токен или ключ. Вторая часть информации представляет собой второй уровень защиты. Если хакер украдет ваш пароль или получит к нему доступ с помощью дампа паролей в результате серьезной утечки данных, эффективная двухфакторная аутентификация может помешать ему получить доступ к вашей учетной записи (и, следовательно, к личной и конфиденциальной информации). Крайне важно, чтобы в организации все использовали 2FA для своих учетных записей.

Как установить двухфакторную аутентификацию?

Существует три распространенных метода 2FA: ключи безопасности, приложения для аутентификации и одноразовые SMS-коды.

Ключи безопасности

Ключи безопасности – это оптимальный вариант, отчасти потому, что они практически полностью защищены от фишинга. Такие «ключи» представляют собой аппаратные токены (например, мини-USB-накопители), которые можно прикрепить к связке ключей (или оставить на компьютере) для обеспечения удобного доступа и безопасного хранения. Когда потребуется использовать ключ для разблокирования определенной учетной записи, вы просто вставите его в устройство и прикоснетесь к нему при появлении соответствующего запроса во время входа в систему. Существует широкий спектр моделей, которые можно приобрести в Интернете (20–50 долл. США), в том числе популярные YubiKeys У Wirecutter от New York Times есть полезное руководство с рекомендациями касательно покупки ключей. Имейте в виду, что один и тот же ключ безопасности можно использовать для любого количества учетных записей. В то время как ключи безопасности – это весьма дорогое решение для многих организаций, в рамках таких инициатив, как Программа дополнительной защиты от Google или служба Microsoft’s AccountGuard, данные ключи предоставляются бесплатно соответствующим группам риска. Свяжитесь с людьми, передавшими вам данное Пособие, чтобы узнать, могут ли они включить вас в подобную программу, или напишите по адресу [email protected].

Ключи безопасности в реальном мире

A hand holding an actual key with a key ring attached to a 2 f a device

Предоставив физические ключи безопасности для двухфакторной аутентификации всем 85 000+ сотрудникам, компания Google (организация с очень высокими рисками, являющаяся вероятной целью для кибератак) сумела эффективно нейтрализовать все фишинговые атаки, направленные на организацию. Это является подтверждением эффективности использования ключей безопасности даже в наиболее подверженных рискам организациях.

Приложения для аутентификации

Вторым оптимальным вариантом 2FA является использование приложений для аутентификации. Такие службы генерируют временный код 2FA для входа через мобильное приложения или отправляют push-уведомления на смартфон пользователя. К наиболее популярным и надежным приложениям относятся Google Authenticator, Authy, и Duo Mobile. Приложения для аутентификации – это отличный вариант еще и потому, что они работают даже при отсутствии доступа к мобильной сети и являются бесплатными для физических лиц. Однако приложения для аутентификации больше подвержены фишингу, чем ключи безопасности, поскольку пользователей можно обманом заставить ввести коды безопасности из приложения для аутентификации на фальшивом веб-сайте. Помните, что вводить код для входа можно только на легальном веб-сайте. Не «принимайте» push-уведомления о входе в систему, если не уверены, что это ваш запрос на вход. При использовании приложения для аутентификации также важно иметь резервные коды (подробнее ниже) на случай потери или кражи телефона.

Коды, отправляемые через SMS

Наименее безопасным но, к сожалению, и наиболее распространенным вариантом прохождения 2FA являются коды, отправляемые через SMS Поскольку SMS можно перехватить, а номера телефонов можно подделать или взломать через оператора мобильной связи, SMS – это отнюдь не самый лучший метод запроса кодов 2FA. Безусловно, это лучше, чем просто использовать пароль, но по возможности рекомендуется использовать приложения для аутентификации или физические ключи безопасности Достаточно решительный противник может получить доступ к SMS-кодам 2FA, просто позвонив в телефонную компанию и заменив вашу SIM-карту.

Когда будете готовы включить двухфакторную аутентификацию для всех учетных записей вашей организации, перейдите на данный веб-сайт (https://2fa.directory/), чтобы оперативно ознакомиться с информацией и инструкциями для конкретных служб (включая Gmail, Office 365, Facebook, Twitter и т. п.) и узнать, какие типы 2FA поддерживаются данными службами.

2FA и парламенты

Parliament chambers

Согласно сообщениям, опубликованным в 2020 году, хакеры проникли в систему парламентской электронной почты Норвегии, скомпрометировав учетные записи электронной почты, принадлежащие нескольким парламентским чиновникам, и даже загрузив некоторую информацию из парламентских систем. Хотя полные подробности взлома не были обнародованы, Норвегия приписала вторжение APT28, хакерской группе, связанной с российскими службами безопасности. Хотя APT28 и другие хакеры очень сложны, они часто используют менее сложные тактики, такие как «атаки грубой силы» (когда злоумышленник использует инструменты, чтобы перепробовать множество паролей в надежде в конечном итоге угадать правильный), чтобы получить доступ к учетной записи. Эта тактика позволяет хакерам угадывать даже надежные пароли, как считалось в Норвегии. Хорошие новости? Эти типы атак с гораздо меньшей вероятностью будут успешными при использовании правильного ключа или двухфакторной аутентификации на основе приложения!

Что делать, если кто-то потерял устройство 2FA?

При использовании ключа безопасности следует соблюдать те же меры предосторожности, что при использовании ключей от дома или квартиры. Одним словом, не теряйте его. При этом, как и в случае с ключами от дома, рекомендуется иметь резервный ключ, привязанный к вашей учетной записи, который будет храниться в надежном месте (например, в домашнем сейфе или банковской ячейке) на случай потери или кражи.

В качестве альтернативы можно создать резервные коды для учетных записей, которые позволяют это сделать. Эти коды должны храниться в максимально безопасном месте, например в менеджере паролей или в физическом сейфе. Такие резервные коды можно генерировать в настройках 2FA большинства сайтов (в том же разделе, где включается двухфакторная аутентификация) и использовать в качестве резервного ключа в чрезвычайной ситуации.

Наиболее распространенные сбои двухфакторной аутентификации возникают, когда люди меняют или теряют телефоны с приложениями для аутентификации. При использовании Google Authenticator кража телефона чревата дополнительными проблемами, если сохранить резервные коды, генерированные во время подключения учетной записи к Google Authenticator. Поэтому если в качестве приложения 2FA вы используете Google Authenticator, обязательно храните резервные коды для всех подключаемых учетных записей в безопасном месте.

В приложениях Authy и Duo предусмотрены встроенные функции резервного копирования со строгими настройками безопасности, которые можно включить. В этих приложениях можно настроить параметры резервного копирования на случай поломки, потери или кражи устройства. См. инструкции к приложению Auth здесь, и к приложению Duo здесь.

Убедитесь, что в вашей организации с указанными инструкциями ознакомились все сотрудники, использующие двухфакторную аутентификацию для своих учетных записей.

внедрение 2FA в парламентах

Если ваша организация предоставляет всем сотрудникам учетные записи электронной почты через рабочее пространство Google Workspace (ранее известное как GSuite) или Microsoft 365 с использованием собственного домена (например, @ndi.org), вы можете применить двухфакторную аутентификацию и строгие настройки безопасности для всех учетных записей. Подобное принудительное применение не только поможет защитить учетные записи, но также позволит познакомить сотрудников с 2FA, чтобы мотивировать их применять двухфакторную аутентификацию и для личных учетных записей. Администраторы рабочего пространства Google Workspace могут воспользоваться данными инструкциями по внедрению двухфакторной аутентификации в домене. Администраторы домена могут воспользоваться аналогичными инструкциями для Microsoft 365. 


Кроме того, рекомендуется рассмотреть возможность регистрации учетных записей вашей организации в Программе дополнительной защиты (Google) или AccountGuard (Microsoft), чтобы задействовать дополнительные меры безопасности и ввести физические ключи безопасности для двухфакторной аутентификации.

защищенные учетные записи

  • Требуйте использовать надежные пароли для всех учетных записей организации; рекомендуйте сотрудникам и волонтерам делать то же самое для личных учетных записей.
  • Внедрите в организации надежный менеджер паролей (и рекомендуйте сотрудникам использовать его в личной жизни).
    • Требуйте надежный основной пароль и 2FA для всех учетных записей менеджера паролей.
    • Напомните всем сотрудникам о необходимости выходить из личного кабинета менеджера паролей на общих устройствах или при повышенном риске кражи либо конфискации устройства.
  • Меняйте общие пароли после увольнения сотрудников из организации.
  • Передавайте пароли только по защищенным каналам, например через менеджер паролей организации или приложения со сквозным шифрованием.
  • Сделайте двухфакторную аутентификацию обязательной для всех учетных записей организации и рекомендуйте сотрудникам использовать 2FA для личных учетных записей.
    • По возможности предоставьте физические ключи безопасности всем сотрудникам.
    • Если ключи безопасности не вписываются в ваш бюджет, рекомендуйте вместо запроса кодов для 2FA через SMS или телефонные звонки использовать приложения для аутентификации.
  • Проводите регулярные тренинги, чтобы сотрудники были осведомлены о передовых методах работы с паролями и двухфакторной аутентификации, в том числе о том, что делает пароль надежным, и о том, как важно никогда не использовать повторяющиеся пароли, принимать только легальные запросы 2FA и создавать резервные коды для 2FA.