Несмотря на то, что я неоднократно высказывался на этом блоге по поводу низкой эффективности парольной защиты, которую считаю морально устаревшей, нельзя не принять во внимание, что она очень и очень широко распространена во всем мире, и в обозримом будущем возможности полностью отказаться от неё не видно. Значит, нужно подумать над тем, как сделать так, чтобы пароли работали достаточно эффективно. Об этом и поговорим.
Серьезно улучшат ситуацию с информационной безопасностью в компании правильно внедренная парольная политика и запрет на использование в рабочих целях бесплатных почтовых сервисов. Не секрет, что зачастую вовсе не нужно быть асом взлома, чтобы подобрать пароль к учетной записи пользователя, дающей возможность «слить» важные документы из корпоративной сети. Пользователи просто обожают пароли в стиле «111», «йцукен», «ААА» и тому подобные. Поэтому совершенно необходимым этапом улучшения ситуации с информационной безопасностью является написание и внедрение парольной политики организации. Нередко пароли даже генерируются специальным программным обеспечением, а не придумываются самим пользователем. При этом для того, чтобы случайно утерянный пользователем или подсмотренный злоумышленником пароль не смог привести к краху всей системы безопасности организации, пароли периодически меняются.
К сожалению, эти меры хороши только до определенного порога, за которым лекарство превращается в смертельный яд. Дело в том, что человеческая память плохо подходит для запоминания комбинаций вида «gU3ms#6eJK&rf!+», а потому большая часть пользователей вынуждена записывать свои пароли на мобильных телефонах, в записных книжках и просто на случайных листках бумаги. Временами ситуация становится просто анекдотичной: на мониторе пользователя висит стикер с надписью «пароль такой-то». Таким образом, при первых признаках того, что пользователи имеют трудности с запоминанием своих паролей, имеет смысл пересмотреть политику безопасности в их отношении.
Р. Идов,
ведущий аналитик компании SearchInform