Политика управления паролями реферат

Обновлено: 05.07.2024

Пользователи должны выбирать нестандартные пароли. Это означает, что пароли не должны быть связаны с занятиями или личной жизнью пользователей. Например, нельзя использовать в качестве пароля номер собственного автомобиля, имя супруги или часть адреса. Это также означает, что пароль не должен быть просто словом из словаря. Так, не должны использоваться в качестве паролей имена собственные, географические названия, технические термины и сленг. Если имеются соответствующие системные программные средства для осуществления контроля надежности назначаемых пользователям паролей, то необходимо использовать эти средства для того, чтобы запретить пользователям выбор легко угадываемых паролей.

Пользователи могут выбрать легко запоминающиеся пароли, которые в тоже время являются трудно угадываемыми для третьих лиц, если будет выполнено хотя бы одно из следующих условий:

– при наборе слова на клавиатуре использованы клавиши, смещенные относительно нужных, на один ряд вверх, вниз, вправо или влево;

– слово набрано со смещением на определенное количество букв вверх или вниз по алфавиту;

– комбинация цифр и обычного слова;

– намеренно неправильное написание слова (но не обычная в данном слове орфографическая ошибка).

Рекомендуется, чтобы в пароле имелись не только буквы, но и другие символы, то есть цифры (0–9) и знаки пунктуации. Использование управляющих символов и прочих неотображаемых знаков не рекомендуется, поскольку из-за этого могут возникнуть проблемы при передаче данных по сети, неожиданно активизироваться определенные системные утилиты или возникнуть другие побочные эффекты.

Все пароли должны состоять не менее чем из шести символов. Длина паролей должна всегда автоматически проверяться в тот момент, когда пользователи создают или выбирают пароли. Пользователи не должны создавать пароли, которые идентичны или в значительной степени повторяют ранее используемые ими пароли. Если имеются соответствующие системные программные средства, необходимо запретить пользователям, повторно использовать свои предыдущие пароли.

Пароли не должны храниться в доступной для чтения форме в командных файлах, сценариях автоматической регистрации, программных макросах, функциональных клавишах терминала, на компьютерах с неконтролируемым доступом, а также в иных местах, где неуполномоченные лица могут получить к ним доступ. Например, ни в каких приложениях пользователи не должны выбирать такую опцию конфигурации, как автоматическое сохранение пароля.

Нельзя записывать пароли и оставлять эти записи в местах, где к ним могут получить доступ неуполномоченные лица. Пароль должен быть немедленно изменен, если имеются основания полагать, что данный пароль стал известен кому-либо еще, кроме самого пользователя.

Кража оборудования. Производитель электроники приобрел очень дорогостоящее тестовое оборудование для использования в производстве. Отдел безопасности решил, что для обеспечения сохранности этого оборудования необходимо ограничить доступ к нему всего несколькими сотрудниками. На входе в помещение с оборудованием были установлены дорогостоящие электронные замки со смарт-картами. Только старшему менеджеру были выданы ключи от этого помещения. Для выполнения своих обязанностей, помимо старшего менеджера, доступ в помещение с оборудованием был необходим еще 10 сотрудникам, которые не имели собственных ключей и сопровождались в это помещение старшим менеджером.

Первоначально требования данной политики добросовестно выполнялись. Однако вскоре менеджеру надоело выполнять функции по сопровождению сотрудников. Производительность труда снизилась из-за того, что менеджер периодически оказывался недоступен, а кроме него некому было открывать помещение. Отдел безопасности отказался удовлетворить просьбу менеджера о выдаче дополнительных ключей. В итоге была достигнута неформальная договоренность о том, что ключи будут оставляться в ящике стола. Последствия не заставили себя долго ждать.

Однажды, когда менеджер и его сотрудники были на собрании, оборудование было похищено. Ключа тоже найти не удалось. Отдел безопасности предпринял расследование, которое, однако, успехом не увенчалось. После чего решался вопрос о наказании менеджера, ответственного за хранение ключа.

Просуммируем результаты внедрения данной политики:

– было потеряно дорогостоящее оборудование;

– у менеджеров и сотрудников организации сложилось крайне негативное отношение к любым мерам и политикам обеспечения безопасности;

– ворам удалось избежать ответственности;

– дорогостоящие меры защиты не принесли положительного результата.

Утечка информации. Сетевые администраторы решили, что в их организации слишком много неиспользуемых учетных записей пользователей электронной почты и разработали ПБ, требующую для создания учетной записи пользователя подписей трех вице-президентов компании.

Запросы на создание учетных записей поступали ежедневно, а получить одновременно подписи всех трех вице-президентов было крайне затруднительно. Как правило, вице-президенты не имели представления о том, для кого создавались эти учетные записи. В результате, некоторые из них просто стали подписывать пачку пустых служебных записок и распространять их среди менеджеров.

Файлы, содержащие конфиденциальную информацию, были похищены и опубликованы в сети Интернет анонимным пользователем, что негативно отразилось на репутации компании.

Изучение журналов аудита на файловом сервере показало, что доступ к файлам, которые были скомпрометированы, был получен пользователем под именем JQPUBLIC. Дальнейшее расследование показало, что запрос на создание учетной записи JQPUBLIC был санкционирован несколько месяцев назад. Оказалось, что никто не имеет представления о том, за кем была закреплена эта учетная запись, и кем был сделан соответствующий запрос.

Просуммируем результаты внедрения данной политики:

– была скомпрометирована конфиденциальная информация;

– репутация компании была подорвана;

– злоумышленнику удалось избежать ответственности

Потеря данных и оборудования. Все оборудование Web-серверов размещалось в центральной серверной комнате в головном офисе компании. Такая политики обеспечивала хороший уровень безопасности и системной поддержки. Однако с расширением диапазона предоставляемых сервисов увеличилось количество запросов на установку дополнительных серверов, которые сложно было удовлетворить.

Процедура выделение дополнительного места в серверной комнате и биллинга для различных департаментов организации была довольно сложной. В результате некоторые департаменты решили осуществлять размещение необходимых им серверов на своей территории и самостоятельно осуществлять их поддержку. Одно бизнес-подразделение, предоставляющее Web-сервисы на основе подписки, поместило свой сервер в шкаф, где хранились канцелярские принадлежности и туалетная бумага, что в один прекрасный день привело к возгоранию сервера, вызванному его перегревом. В результате сервер, а вместе с ним и часть здания были уничтожены огнем.

Так как служба технической поддержки не отвечала за эксплуатацию данного сервера, выяснилось, что резервное копирование данных не осуществлялось уже в течение года. Существующие процедуры восстановления после аварии оказались в данном случае непригодными, клиентов, подписавшихся на данных Web-сервис, идентифицировать не удалось, как не удалось определить их текущие балансы для выставления счетов на оплату услуг. Просуммируем результаты внедрения данной политики (а точнее отсутствия четко определенной политики):

2. Цель

Цель этой политики установить стандарты создания сильных паролей, их защиту, хранение и частоту изменения.

3. Область применения

Эта политика относится ко всему персоналу, кто имеет или ответственен за доступ к конфиденциальной информации всех уровней (или любая форма доступа, которая поддерживает или требует пароля) на любой системе, оборудовании, имеющем доступ (или хранящем конфиденциальную информацию) к Вашей корпоративной сети.

4. Политика

Пароли системных учетных записей (администратора домена, локального администратора, root и т. д.) должны изменяться ежеквартально.

Все пароли системных учетных записей, а также пароли приложений и активного оборудования необходимо хранить в базе данных в зашифрованном виде, доступ к которой ограничен.

Срок действия паролей учетных записей домена должен составлять не более 9 месяцев. Рекомендуемый интервал смены пароля 6 месяцев.

Пароль учетной записи пользователя, имеющего административные привилегии, полученные при помощи членства в группе или при помощи программ, таких как sudo, должен быть уникален по отношению к другим паролям учетных записей данного пользователя.

5. Инструкции

Плохие, слабые пароли обладают следующими признаками:

Содержат компьютерные термины и названия, команды, названия сайтов, компаний, оборудования, программного обеспечения.

6. Параметры сильных паролей

Внимание: Не используйте ни один из предыдущих примеров в качестве пароля!

7. Правила парольной защиты

Если кто-либо требует сообщить ваш пароль, сошлитесь на этот документ или попросите позвонить в отдел информационной безопасности.

8. Стандарт разработки приложений

Разработчики приложений должны обеспечить в своих программах следующие меры безопасности:

Приложения должны обеспечивать своего рода передачу прав, чтобы один пользователь мог выполнять функции другого не зная его пароль.

9. Использование паролей и парольных фраз для удалённого доступа.

Парольные фразы отличаются от паролей. Парольная фраза более длинная версия пароля и, таким образом, более надёжная. Парольные фразы обычно используются для аутентификации в ассиметричных системах шифрования. Ассиметричная ключевая система определяет математическую связь между открытым ключом, известным всем и закрытым ключом, известным только его владельцу. Без парольной фразы, дающей доступ к закрытому ключу, пользователь не получит доступ.

Все правила создания стойких паролей относятся и к парольным фразам.

10. Ответственность

Любой сотрудник, нарушивший настоящую политику, может быть подвергнут взысканию вплоть до увольнения.


Пользователи зачастую не понимают важность использования сложных паролей. Вот несколько причин, почему они действительно необходимы.

Сетевая безопасность

Мониторинг

Аутентификация пользователей позволяет отслеживать, кто выполнял те или иные действия в системе.

Внутренняя конфиденциальность

Причиной нарушения конфиденциальности может стать использование общеизвестного пароля.

Неправильное отношение к паролям

Если вы давно в IT-бизнесе, то сталкивались с клиентами, которые несерьезно относятся к безопасности. Порой даже некоторые директора компаний настаивают на том, чтобы все пароли были одинаковыми у всех сотрудников.

Политика управления паролями

Чтобы компания была в безопасности, необходимо внедрить строгую политику управления паролями. Большинство IT-систем и серверов позволяют сетевым администраторам определять, насколько сложным должен быть каждый используемый пароль и как часто его значение необходимо менять.

При настройке этих параметров важно найти золотую середину между безопасностью и степенью сложности, с которой пользователи смогут совладать.

Национальный институт стандартов и технологий США (NIST) некоторое время назад пересмотрел свои рекомендации по реализации политики управления паролями. Самые актуальные советы:

Модели управления паролями должны быть удобными для пользователей, а основная нагрузка должна лежать на верификаторах паролей.

Рекомендации определяют минимальное количество символов – 8, а максимальное – 64 символа. При этом значения паролей могут содержать печатные символы ASCII, Unicode (включая эмодзи).

Не следует задавать шаблоны комбинаций символов в пароле. Пускай пользователи выбирают пароль свободно. Просто поощряйте использование более длинных значений.

Часто люди используют очевидные подсказки для напоминания паролей, а это слишком рискованно.

Теперь NIST утверждает, что пароли могут быть сброшены, только если на это есть действительно веская причина. Например, если пользователь забыл пароль, или система подверглась фишинговой атаке.

  • Не используйте SMS для двухфакторной аутентификации

При разработке стратегии управления паролями учитывайте следующее:

  1. Обеспечьте достаточный уровень сложности используемых паролей, которые будет трудно взломать.
  2. Используйте отдельные пароли для каждой IT-системы: один для входа в систему, другой – для VPN, третий – для баз данных.
  3. Избегайте использования одинаковых или общеизвестных паролей.
  4. Дайте пользователям понять, что набор букв, цифр и знаков препинания не обязательно должен быть сложным.

Дополнительные советы

Менеджер паролей позволяет получить доступ ко всем системам из одного интерфейса. Это решить проблему сложных паролей. Пользователям нужно будет запомнить один сложный пароль вместо нескольких.

Используя Conditional Access, вы будете на шаг впереди от 2FA/MFA (многофакторной аутентификации). Модели Conditional Access ищут аномальные соединения, а затем устанавливают MFA, когда ситуация выходит за рамки заданных условий.

Управление паролями не должно быть рутинной работой. Достичь этого поможет общение с персоналом и соблюдение золотой середины между безопасностью и удобством.

Пожалуйста, опубликуйте свои мнения по текущей теме статьи. Мы крайне благодарны вам за ваши комментарии, отклики, дизлайки, подписки, лайки!

Пожалуйста, опубликуйте ваши комментарии по текущей теме статьи. Мы крайне благодарны вам за ваши комментарии, дизлайки, подписки, отклики, лайки!

Дайте знать, что вы думаете по этой теме материала в комментариях. За комментарии, дизлайки, подписки, отклики, лайки низкий вам поклон!

  • идентификация
  • аутентификация пользователей. классификация методов идентификации пользователей

Пароли. Идентификация, аутентификация пользователей. Классификация методов идентификации пользователей ( реферат , курсовая , диплом , контрольная )

Наиболее распространенными, простыми и привычными являются методы аутентификации, основанные на паролях — секретных идентификаторах субъектов. Здесь при вводе субъектом своего пароля подсистема аутентификации сравнивает его с паролем, хранящимся в базе эталонных данных в зашифрованном виде. В случае совпадения паролей подсистема аутентификации разрешает доступ к ресурсам АС. Парольные методы следует классифицировать по степени изменяемости паролей:

методы, использующие постоянные (многократно используемые) пароли;

методы, использующие одноразовые (динамично изменяющиеся) пароли.

В большинстве АС используются многоразовые пароли. В этом случае пароль пользователя не изменяется от сеанса к сеансу в течение установленного администратором системы времени его действительности. Это упрощает процедуры администрирования, но повышает угрозу рассекречивания пароля. Известно множество способов вскрытия пароля: от простого подсматривания до перехвата сеанса связи. Вероятность вскрытия злоумышленником пароля повышается, если пароль несет смысловую нагрузку (год рождения, имя), небольшой длины, набран в одном регистре, не имеет ограничений на период существования и т. д. Важно, разрешено ли вводить пароль только в диалоговом режиме или есть возможность обращаться из программы. В последнем случае, возможно, запустить программу по подбору паролей.

Более надежный способ — использование одноразовых или динамически меняющихся паролей. Известны следующие методы парольной защиты, основанные на одноразовых паролях:

методы модификации схемы простых паролей;

для заданного пароля x легко вычислить новый пароль y=f (x);

Идея метода функционального преобразования состоит в периодическом изменении самой функции. Последнее достигается наличием в функциональном выражении динамически меняющихся параметров, например, функции от некоторой даты и времени. Пользователю сообщается исходный пароль, собственно функция и периодичность смены пароля. Нетрудно видеть, что паролями пользователя на заданных периодах времени будут следующие: x, f (x), f (f (x)), …, f (x)n-1.

Читайте также: