Теми

Міцна основа: захист облікових записів і пристроїв

Захищені облікові записи: паролі та двофакторна автентифікація

Останнє оновлення: липень 2022 року

У сучасних умовах ваша організація та її співробітники мають десятки, якщо не сотні облікових записів, які в разі зламу можуть розкрити конфіденційну інформацію або навіть піддати ризику їх власників. Подумайте про різні облікові записи, які мають як окремі співробітники, так і організація в цілому: електронна пошта, програми для чату, соціальні мережі, онлайн-банкінг, хмарне сховище даних, а також магазини одягу, місцеві ресторани, газети та багато інших вебсайтів та додатків, в яких ви реєструєтеся. Надійна безпека в сучасному світі вимагає ретельного підходу до захисту всіх цих облікових записів від атак. Це починається із забезпечення надійного зберігання паролів і використання двофакторної автентифікації в усій організації.

Безпечні облікові записи та парламенти

Безпечні облікові записи та парламенти

Широко розголошений злом SolarWinds, виявлений наприкінці 2020 року, який скомпрометував понад 250 організацій, у тому числі більшість урядових департаментів Сполучених Штатів, постачальників технологій, як-от Microsoft і Cisco, а також неурядові організації, став частково результатом того, що хакери підгадали невірні паролі, які використовувалися на важливих облікові записи адміністратора. Загалом близько 80 відсотків усіх порушень, пов’язаних із хакерством, відбуваються через ненадійні або повторно використані паролі.

У зв’язку зі зростаючою поширеністю подібних злому паролів і легшим доступом для різного роду зловмисників до складних інструментів злому паролів, передові практики паролів і двофакторна автентифікація є обов’язковими елементами безпеки для всіх організацій, включаючи парламенти. Жоден інцидент не ілюструє це більш чітко, ніж атака 2017 року проти системи електронної пошти британського парламенту. У цьому інциденті неправильне використання пароля невеликою, але значною кількістю депутатів призвело до розкриття облікових записів електронної пошти та розмов, витоку тисяч облікових даних і величезних збоїв у роботі парламенту. Згідно з прес-службою британського парламенту, зламані облікові записи були «скомпрометовані через слабкі паролі, які не відповідають вказівкам, виданим Парламентською цифровою службою.»

Що таке надійний пароль?

Сильний, надійній пароль має три характеристики: довжина, випадковість і унікальність.

Довжина

Чим довший пароль, тим важче зловмиснику його вгадати. У більшості випадків злом паролів сьогодні виконується комп’ютерними програмами, і цим зловмисним програмам не потрібно багато часу, щоб зламати короткий пароль. Тому дуже важливо, щоб ваші паролі мали щонайменше 16 символів або принаймні 5 слів, а краще — ще більше.

Випадковість:

Навіть якщо пароль довгий, не дуже добре, якщо він містить дані, які зловмисник може легко вгадати про вас. Не вказуйте таку інформацію, як ваш день народження, рідне місто, улюблені заняття чи інші факти, які хтось може дізнатися про вас під час швидкого пошуку в інтернеті. 

Унікальність:

Можливо, найбільш поширеною «найгіршою практикою» є використання одного пароля для кількох вебсайтів. Повторення паролів є великою проблемою, оскільки це означає, що коли лише один із цих облікових записів зламано, всі інші облікові записи, в яких використовується той самий пароль, також стають уразливими. Якщо ви використовуєте одну і ту саму парольну фразу на кількох вебсайтах, це може значно посилити наслідки однієї помилки або витоку даних. Хоча вас не турбує доля паролю для входу до місцевої бібліотеки, якщо його буде зламано, а ви використовуєте той самий пароль для більш конфіденційного облікового запису, важливу інформацію можуть викрасти.

Один із простих способів досягти бажаної довжини, випадковості та унікальності – це вибрати три-чотири звичайних, але випадкових слів. Наприклад, ваш пароль може бути «квіткова лампа зелений ведмідь», який легко запам’ятати, але важко вгадати. Ви можете зайти на цей веб-сайт від Better Buys, щоб дізнатися, наскільки швидко можна зламати слабкі паролі.

Використовуйте менеджер паролів

Отже, ви знаєте, що для кожного в організації важливо використовувати довгий, випадковий, унікальний пароль для кожного з особистих і організаційних облікових записів, але як це зробити? Запам'ятати надійні паролі для десятків (якщо не сотень) облікових записів неможливо, тому всім доводиться хитрувати. Неправильний спосіб робити це — повторно використовувати паролі. На щастя, ми можемо звернутися до менеджерів цифрових паролів, щоб зробити наше життя набагато простішим (а нашу методи зберігання паролів набагато безпечнішими). Ці програми, доступні через комп’ютер або мобільний пристрій, можуть створювати, зберігати та керувати паролями для вас і всієї вашої організації. Застосування безпечного менеджера паролів означає, що вам доведеться запам’ятовувати лише один дуже надійний, довгий пароль, який називається основним паролем (або «головним паролем»). Завдяки цьому менеджеру ви скористаєтеся перевагами безпеки від використання надійних унікальних паролів для всіх ваших облікових записів. Ви використовуватимете цей основний пароль (і в ідеалі другий фактор автентифікації (2FA), що буде розглядатися в наступному розділі), щоб відкрити менеджер паролів і розблокувати доступ до всіх ваших інших паролів. Менеджери паролів також можна спільно використовувати для кількох облікових записів, щоб полегшити безпечний обмін паролями в усій організації.

Чому нам потрібно використовувати щось нове? Чи можна просто записати їх на папері або в електронній таблиці на комп’ютері?

На жаль, існує багато поширених методів управління паролями, які не є безпечними. Зберігання паролів на аркушах паперу (якщо ви не зберігаєте їх під замком у сейфі) означає ризик фізичного викрадення, потрапляння на сторонні очі, легкої втрати чи пошкодження. Якщо ви зберігаєте паролі в документі на комп’ютері, хакерам буде набагато легше отримати доступ до них. А ті, хто викраде ваш комп’ютер, отримають не лише ваш пристрій, але й доступ до всіх ваших облікових записів. Користуватися хорошим менеджером паролів так само легко, як і цим документом, але набагато безпечніше. 

Чому слід довіряти менеджеру паролів?

Якісні менеджери паролів докладають надзвичайних зусиль (і залучають чудові команди фахівців із питання безпеки) для забезпечення безпеки своїх систем. Надійні додатки для керування паролями (декілька з яких рекомендовані нижче) також налаштовані так, що вони не мають можливості «розблокувати» ваші облікові записи. Це означає, що в більшості випадків, навіть якщо їх зламали або законно примусили передати інформацію, вони не зможуть втратити або видати ваші паролі. Пам’ятайте, що набагато більш імовірним є те, що зловмисник вгадає один із ваших слабких або повторюваних паролів, або знайде його у публічному витоку даних, ніж те, що системи безпеки надійного менеджеру паролів буде зламано. Здоровий скепсис є важливим: не слід сліпо довіряти всьому програмному забезпеченню та всім програмам, але визнані менеджери паролів мають усе необхідне для ефективної дії.

Як щодо збереження паролів у вебоглядачі?

Зберігання паролів у вебоглядачі – це не те саме, що використання безпечного менеджера паролів. Коротше кажучи, не слід використовувати Chrome, Firefox, Safari чи будь-який інший вебоглядачі як менеджер паролів. Незважаючи на те, що це, безумовно, краще, ніж записувати їх на папері чи зберігати в електронній таблиці, основні функції збереження паролів вашого вебоглядачі недосконалі з точки зору безпеки. Ці недоліки також позбавляють вас зручності, яку надає надійний менеджер паролів. Втрата цієї зручності підвищує ймовірність того, що люди у вашій організації продовжуватимуть неправильно створювати паролі та обмінюватися даними.

Наприклад, на відміну від спеціалізованих менеджерів паролів, вбудовані в браузери функції «зберегти цей пароль» або «запам’ятати цей пароль» не забезпечують простої сумісності з мобільними пристроями, використання в інших вебоглядачах та не надають інструментів для створення і перевірки надійних паролів. Ці функції є у значній мірі тим, що робить спеціалізований менеджер паролів таким корисним і корисним для безпеки вашої організації. Менеджери паролів також включають специфічні для організації функції (наприклад, спільний доступ до паролів), які забезпечують не лише індивідуальну безпеку, але й приносять користь для організації в цілому.

Якщо ви зберігали паролі у своєму вебоглядачі (навмисно чи ненавмисно), видаліть їх.

Save Password boxbitwarden

Замість використання вебоглядача (як-от, Chrome, показаний ліворуч) для збереження паролів, використовуйте спеціальний менеджер паролів (як-от, Bitwarden, показаний праворуч). Менеджери паролів мають функції, що роблять життя вашої організації безпечнішим і зручнішим.

Який менеджер паролів слід використовувати?

Існує багато надійних інструментів керування паролями, які можна налаштувати менш ніж за 30 хвилин. Якщо ви шукаєте надійний онлайн-варіант для своєї організації, до якого люди можуть отримати доступ із кількох пристроїв у будь-який час, 1Password (від 2,99 дол. США за користувача на місяць) або безкоштовний із відкритим кодом Bitwarden мають належну підтримку та добрі відгуки. 

Варіант онлайн, як-от Bitwarden, може бути чудовим вибором з огляду як на безпеку, так і на зручність. Bitwarden, наприклад, допоможе вам створити надійні унікальні паролі й отримати доступ до паролів із кількох пристроїв за допомогою розширень браузера та мобільного додатку. У платній версії (10 дол. США на рік) Bitwarden також надає звіти про повторно використані, слабкі та, можливо, зламані паролі, щоб тримати вас у курсі. Після встановлення основного пароля (який називають головним паролем) також слід увімкнути двофакторну автентифікацію, щоб зробити сховище менеджера паролів якомога безпечнішим. 

Важливо дотримуватися надійних методів безпеки під час використання менеджера паролів. Наприклад, якщо ви використовуєте розширення вебоглядача менеджера паролів або заходите до Bitwarden (або будь-якого іншого менеджеру паролів) на пристрої, не забудьте вийти з системи після закінчення роботи, якщо користуєтеся цим пристроєм спільно з кимось або вважаєте, що може бути підвищений ризик фізичного викрадення пристрою. Не забудьте також вийти з менеджера паролів, якщо залишаєте комп’ютер або мобільний пристрій без нагляду. Якщо ваша організація надає спільний доступ до паролів, обов’язково скасуйте доступ до них (і змініть самі паролі) після звільнення співробітників. Наприклад, у колишніх співробітників не має бути доступу до пароля вашої організації у Facebook.

Що робити, якщо хтось забув основний пароль?

Важливо пам'ятати основний пароль. Надійні системи керування паролями, подібні до рекомендованих вище, не зберігають основний пароль і не дозволяють скинути його безпосередньо електронною поштою, як це можливо для вебсайтів. Це надійна функція безпеки, але важливо запам’ятати основний пароль під час першого налаштування менеджера паролів. Щоб допомогти з цим, налаштуйте щоденне нагадування основного пароля під час першого створення облікового запису менеджера паролів. 

Використовує вищий рівень менеджера паролів для вашої організації

Ви можете покращити використання паролів у всій організації та забезпечити всім співробітникам доступ до менеджера паролів і його використання, запровадивши його для всієї організації. Замість того, щоб кожен окремий співробітник створював власний план, розгляньте доцільність інвестування в «командний» або «бізнес-план». Наприклад, план «команд організації» від Bitwarden коштує 3 дол. США на користувача на місяць. З ним (або іншими командними планами від менеджерів паролів, таких як 1Password), ви маєте можливість керувати всіма спільно використовуваними паролями в організації. Функції загальноорганізаційного менеджера паролів не тільки забезпечують більший захист, але й зручність для персоналу. Ви можете безпечно ділитися обліковими даними в самому менеджері паролів з різними обліковими записами користувачів. Bitwarden, наприклад, також надає зручну функцію наскрізного шифрування обміну текстовими повідомленнями та файлами під назвою «Bitwarden Send» у своєму командному плані. Обидві ці функції надають вашій організації контроль над тим, хто може переглядати паролі та ділитися ними, а також забезпечують більш безпечний варіант для спільного використання облікових даних для облікових записів усієї команди чи групи. Якщо ви налаштували менеджер паролів для всієї організації, призначте особу, яка буде відповідати за видалення облікових записів співробітників і зміну паролів, що спільно використовуються, після звільнення співробітників.

Two Factor Authentication

Що таке двофакторна автентифікація?

Яким би надійним не був захист паролів, хакери надто часто обходять паролі. Щоб захистити ваші облікові записи від деяких типових існуючих загроз, потрібен інший рівень захисту. Ось тут і вступає в гру багатофакторна або двофакторна автентифікація, що називається MFA або 2FA.

Існує багато чудових посібників і ресурсів, в яких пояснюється двофакторна автентифікація, зокрема стаття Martin Shelton Двофакторна автентифікація для початківців і Польовий посібник із виборчої кібербезпеки 101 від Center for Democracy &Technology. У цьому розділі наведено багато інформації з цих обох ресурсів, щоб пояснити, чому так важливо запровадити 2FA у вашій організації.

Коротко кажучи, 2FA зміцнює безпеку облікового запису, вимагаючи другу частину інформації – щось більше, ніж просто пароль, – для отримання доступу. Друга частина інформації – це зазвичай щось, що у вас є, як-от код із програми на вашому телефоні, фізичний токен або ключ. Ця друга частина інформації діє як другий рівень захисту. Якщо хакер викраде пароль або отримає доступ до нього через перелік паролів у результаті великого витоку даних, ефективний метод 2FA може запобігти його доступу до вашого облікового запису (і таким чиномі, захистить приватну та конфіденційну інформацію). Вкрай важливо переконатися, що всі співробітники організації використовують 2FA у своїх облікових записах.

Як налаштувати двофакторну автентифікацію?

Є три поширені методи 2FA: ключі безпеки, програми автентифікації та одноразові SMS-коди.

Ключі безпеки

Ключі безпеки – найкращий варіант, частково тому, що вони майже повністю захищені від фішингу. Ці «ключі» є апаратними токенами (наприклад, міні-USB-накопичувачі), які можна приєднати до брелоку (або залишити у вашому комп’ютері) для легкого доступу та безпечного зберігання. Коли прийде час використати ключ для розблокування даного облікового запису, ви просто вставите його у пристрій і торкнетеся його, коли з’явиться запит під час входу. Існує широкий асортимент моделей, які можна придбати в інтернеті (20–50 дол. США), у тому числі вельми рекомендовані YubiKeys. Wirecutter від The New York Times має корисний посібник із деякими рекомендаціями, які ключі слід купувати. Майте на увазі, що один і той самий ключ безпеки можна використовувати для будь-якої кількості облікових записів. Хоча ключі безпеки є дорогими для багатьох організацій, такі ініціативи, як Програма додаткового захисту Google або AccountGuard від Microsoft надають ці ключі безкоштовно деяким групам ризику. Зв’яжіться з людьми, які надали вам Довідник, щоб дізнатися, чи можуть вони зв’язати вас із цими програмами або напишіть на адресу [email protected].

Ключі безпеки в реальному світі

A hand holding an actual key with a key ring attached to a 2 f a device

Надавши фізичні ключі безпеки для двофакторної автентифікації всім своїм 85 000 співробітникам, Google (організація з високим ризиком) ефективно усунула можливість фішингової атаки на організацію. Цей випадок показує, наскільки ефективними можуть бути ключі безпеки навіть для організацій із найбільшим ризиком.

Програми автентифікації

Другим найкращим варіантом 2FA є програми автентифікації.. Ці служби дозволяють отримати тимчасовий 2FA код входу через мобільний додаток або push-повідомлення на смартфоні. Деякі популярні та надійні варіанти включають Google Authenticator, Authy та Duo Mobile. Додатки Authenticator також чудові, тому що вони працюють, коли у вас немає доступу до стільникової мережі, і безкоштовні для використання фізичними особами. Однак програми автентифікації більш уразливі для фішингу, ніж ключі безпеки, оскільки користувачів можна обманом змусити ввести коди безпеки з програми автентифікації на підробленому вебсайті. Вводіть коди входу лише на дійсних вебсайтах. Не «приймайте» push-сповіщення про вхід, якщо не впевнені, що це ви зробили запит про вхід. У разі використання програми автентифікації також важливо підготувати резервні коди (розглянуті нижче) на випадок втрати або викрадення телефону.

Коди через SMS

Найменш безпечною, але, на жаль, все ще найпоширенішою формою 2FA є коди, надіслані через SMS. Оскільки SMS можна перехопити, а номери телефонів можна підробити або зламати через оператора мобільного зв’язку, SMS є ненадійним методом запиту кодів 2FA. Це краще, ніж використовувати лише пароль, але за можливості, рекомендується використовувати програми автентифікації або фізичний ключ безпеки. Рішуче налаштований супротивник може отримати доступ до SMS-кодів 2FA, зазвичай просто зателефонувавши в телефонну компанію і замінивши вашу SIM-картку.

Коли ви будете готові почати вмикати 2FA для облікових записів вашої організації, скористайтеся цим веб-сайтом (https://2fa.directory/), щоб швидко знайти інформацію та інструкції для певних служб (наприклад, Gmail, Office 365, Facebook, Twitter тощо), а також побачити, які служби підтримують які типи 2FA.

2FA та парламенти

Parliament chambers

Згідно зі звітами, опублікованими в 2020 році, хакери проникли в систему електронної пошти парламенту Норвегії, скомпрометувавши облікові записи електронної пошти, що належать кільком посадовцям парламенту, і навіть завантаживши деяку інформацію з парламентських систем. Хоча повні подробиці злому не були оприлюднені, Норвегія приписала вторгнення APT28, хакерській групі, пов’язаній зі службами безпеки Росії. Незважаючи на те, що APT28 та інші хакери є надзвичайно складними, вони часто використовують менш складні тактики, такі як «атаки грубою силою» (де зловмисник використовує інструменти, щоб спробувати багато паролів із надією врешті-решт вгадати правильний), щоб отримати доступ до облікового запису. Ця тактика дозволяє хакерам вгадувати навіть надійні паролі, як вважалося в Норвегії. Хороші новини? Ці типи атак мають набагато меншу ймовірність успіху за правильного ключа або двофакторної автентифікації на основі програми!

Що робити в разі втрати пристрою 2FA?

Якщо ви використовуєте ключ безпеки, поводьтеся з ним так само, як і з ключем від будинку чи квартири, якщо він у вас є. Одним словом, не губіть його. Так само, як і для ключа від будинку, завжди варто мати резервний ключ, зареєстрований у вашому обліковому записі, що зберігається у надійному місці під замком (наприклад, у домашньому сейфіі) на випадок втрати чи крадіжки.

Крім того, ви повинні створити резервні коди для облікових записів, які це дозволяють. Зберігайте ці коди в надійному місці, наприклад у менеджері паролів або фізичному сейфі. Такі резервні коди можна згенерувати в налаштуваннях 2FA більшості вебсайтів (там, де ви спочатку вмикаєте 2FA), і вони можуть діяти як резервний ключ у разі надзвичайної ситуації.

Найпоширеніша помилка 2FA виникає, коли люди замінюють або втрачають телефони, які вони використовують для програм автентифікації. Якщо ви використовуєте Google Authenticator, вам не пощастить у разі крадіжки телефону, якщо тільки ви не збережете резервні коди, що генеруються під час підключення облікового запису до Google Authenticator. Тому, якщо ви використовуєте Google Authenticator як програму 2FA, обов’язково зберігайте резервні коди для всіх облікових записів, які ви підключаєте, у безпечному місці.

Якщо ви використовуєте Authy або Duo, обидві програми мають вбудовані функції резервного копіювання з надійними налаштуваннями безпеки, які ви можете ввімкнути. Якщо ви виберете одну з цих програм, ви зможете налаштувати параметри резервного копіювання на випадок поломки, втрати або крадіжки пристрою. Перегляньте інструкції Authy тут, і Duo тут.

Переконайтеся, що всі співробітники вашої організації знають про ці кроки, коли вони починають вмикати 2FA для всіх своїх облікових записів.

Додатково: застосування 2FA у вашому парламенті

Якщо ваша організація надає облікові записи електронної пошти всім співробітникам через Google Workspace (раніше відомий як GSuite) або Microsoft 365, використовуючи власний домен (наприклад, @ndi.org), ви можете застосувати 2FA та надійні налаштування безпеки для всіх облікових записів. Такий контроль не тільки допомагає захистити ці облікові записи, але також діє як спосіб представити та призвичаїти ваших співробітників до 2FA, щоб їм було зручніше застосовувати її для особистих облікових записів. Як адміністратор Google Workspace ви можете слідувати цим інструкціям, щоб застосувати 2FA для вашого домену. Ви можете зробити ці кроки в Microsoft 365 як адміністратор домену. 
Також подумайте про реєстрацію облікових записів вашої організації в Програмі додаткового захисту (Google) або AccountGuard(Microsoft), щоб застосувати додаткові заходи безпеки та ввести фізичні ключі безпеки для двофакторної автентифікації.

Захищені облікові записи:

  • Вимагайте надійних паролів для всіх облікових записів організації; заохочуйте їх для особистих облікових записів співробітників і волонтерів.
  • Запровадьте надійний менеджер паролів для організації (а також заохочуйте його використання для особистих облікових записів співробітників).
    • Вимагайте надійний основний пароль і 2FA для всіх облікових записів менеджера паролів.
    • Нагадайте всім вийти з менеджера паролів на спільних пристроях або в разі підвищеного ризику викрадення чи конфіскації пристроїв.
  • Змінюйте спільні паролі, коли співробітники звільняються з організації.
  • Надсилайте паролі лише безпечно, наприклад через менеджер паролів вашої організації або програми з наскрізним шифруванням.
  • Надсилайте паролі лише безпечно, наприклад через менеджер паролів вашої організації або програми з наскрізним шифруванням.
    • За можливості, видайте фізичні ключі безпеки всьому персоналу.
    • Якщо бюджет не покриває ключі безпеки, заохочуйте використовувати програми автентифікації замість SMS або телефонних дзвінків для 2FA.
  • Проводьте регулярні тренінги, щоб переконатися, що співробітники ознайомлені з найкращими методами роботи з паролями та 2FA, зокрема про важливість надійних паролів і важливість ніколи не використовувати паролі повторно, приймати лише справжні запити 2FA та генерувати резервні коди 2FA.