генеральный директор
ООО “Нейроинформ”
Почему привычный способ аутентификации не в состоянии остановить лавину взломов, и можно ли сделать пароли снова надежными
Сферу российского кибербеза регулярно сотрясают новости о масштабных утечках клиентских данных. Примерно 70% этих инцидентов так или иначе связаны с компрометаций учётных данных сотрудников. И это — несмотря на огромное количество рекомендаций по повышению безопасности паролей. Так происходит из-за выборочного применения парольных политик, своеобразной настройки систем аутентификации и, конечно, в силу особенностей человеческой психологии.
И хотя эффективные подходы и технологии парольной защиты давно придуманы и реализованы на практике, даже патриархи индустрии признают закат эры паролей. Что придет им на замену? И будет ли эта замена лучше? Давайте разбираться.
Почему “сыпятся” пароли
Какой бы “развесистой” и строгой ни была парольная политика, она так или иначе натыкается на особенности ее применения, обусловленные стремлением пользователей облегчить процедуры обращения с аутентификационными данными. Вместо того, чтобы следовать политике, юзер ищет способ упростить себе жизнь. В рамках собственного опыта и опыта коллег можно констатировать: чем разнообразнее “лайфхаки”, тем слабее защита. Примеры ниже — лишь часть реальных проблем, которые обусловлены легкомысленным отношениям к паролям. Причем чуть ли не в половине случаев мы выявляем комбинацию из таких нарушений. Что, конечно, сильно снижает эффективность парольной защиты как важной детали механизма информационной безопасности.
Я начальник, мне можно
Большие боссы озабочены решением глобальных вопросов организации. Они видеть не хотят 12-значные пароли с огромным количеством спецсимволов и частой сменой регистра при наборе. Начальники уверены: они — самые сознательные пользователи корпоративных ИТ, и слабым звеном им точно никогда не стать. Собственно, поэтому якобы им полагаются различные преференции. Например, пароль, к которому они привыкли. Попытки образумить обычно результата не дают. ИБ-специалист или админ в приказном порядке устанавливает привычную шефу комбинацию, хотя она может не совсем соответствовать (или совсем не соответствовать) корпоративной парольной политике.
Один за всех, все за одного
Переиспользование паролей — привычка, из-за которой, в том числе и получаются ужасающие 70% статистики реализованных ИБ-инцидентов. Нередко это страшное оружие вкладывает в руки пользователей работодатель. Юзер, тем или иным способом накрепко запомнивший сложный пароль от рабочего ПК, начинает применять его повсеместно. В итоге секретная комбинация символов оказывается на серверах службы такси или сервиса заказов еды из ресторана, и в один прекрасный момент утекает в руки злоумышленников.
Частным случаем можно считать переиспользование пароля системным администратором. Одна комбинация символов, словно швейцарский нож, может подходить к сервисам и узлам инфраструктуры, к которым админ по долгу службы обращается каждый день по нескольку раз. Ими вполне могут быть базы данных или другие бизнес-критичные сервисы.
Насколько плохо это заканчивается, можно было судить несколько лет назад во время киберучений, которые организовал вендор решений ИБ. В кулуарах мероприятия обсуждали, что команда защитников сильно подставила себя, использовав для ключевого ИБ-решения комбинацию из Топ-10 банальнейших паролей всех времен и народов. Который команда “хакеров”, разумеется, почти мгновенно подобрала. От катастрофы защитников спасло только принудительное физическое отключение питания атакованного сервера.
Админ всегда прав
Давайте смотреть правде в глаза: властелин корпоративного ИТ в наименьшей степени считает слабым звеном себя. Часто — заслуженно. Но даже самый крутой админ — всего лишь человек с его слабостями и стремлениями сэкономить усилия. Как правило, усилия он экономит на авторизациях. В порядке вещей — “запомнить” часто применяемые пароли в браузере или установить слишком лояльную продолжительность рабочей сессии, чтобы не пришлось слишком часто перелогиниваться.
Мотивация понятна, но “взломостойкости” она явно не добавляет. В рамках пентеста нам несколько удавалось проникнуть на рабочий стол админа и извлечь из содержимого хранилища паролей браузера целую коллекцию секретных комбинаций. А среди них были аутентификационные данные к серверу 1С, Jira и даже сетевому хранилищу паролей. А уж там нам открылся доступ ко всему, от аутентификационных данных к EPR-системе и аппаратному файрволлу до СКУД и камер на офисной парковке.
Опасные умолчания
Почти десять назад в российском сегменте Интернета разразился скандал. Анонимный пользователь получал доступ к веб-камерам пользователей и транслировал видеопоток на популярный видеохостинг. По миру прокатилась волна подобных случаев. А власти Великобритании — видимо, под впечатлением от инцидента — в принципе запретили пароли по умолчанию.
Урок, впрочем, усвоили далеко не все. Я и мои коллеги регулярно сталкиваемся с паролями по умолчанию для подключенных устройств. Причем девайсам не обязательно “смотреть” в интернет, для инцидента хватит подключения устройства к локальной сети. Скажем, находящийся в периметре злоумышленник может получить доступ к офисному МФУ, которому назначены логин и пароль вида admin/admin. Дальше пара несложных манипуляций — и вот в руках взломщика уже окажется пароль к серверу, куда МФУ отправляет отсканированные документы. На сервере кроме папки со скан-копиями может находиться база данных или другая бизнес-критичная информация. Трудно вообразить, чем это обернется, если это был переиспользованный пароль, да ещё и учётная запись обладает правами администратора.
Опять-таки, частным случаем паролей по умолчанию можно назвать стандартный пароль для новых сотрудников, который по инструкции предполагается поменять. Бывает, что новички этого не делают, а системный администратор не ставит запретов на применение паролей, которые уже были.
Ключ для ключа
Пока ИБ-консультанты разрабатывают по заказу своих клиентов парольные политики, а департаменты информационных технологий внедряют их и борются за беспрекословное исполнение, патриархи ИТ-бизнеса призывают отказаться от паролей в принципе. В Microsoft считают, что пароль мало-мальски защищает разве что от атаки типа password spraying. То есть когда злоумышленники применяют один и тот же пароль и/или его незначительные вариации ко множеству логинов. Другими словами, если ваш пароль отсутствует в этом списке, значит, он уже достаточно надежный. Но только против конкретного типа атак.
Ключ для ключа — этот подход, как уверяют в Microsoft, станет будущим действительно безопасных процедур аутентификации и авторизации. Компания из Редмонда настаивает на реализации многофакторной аутентификации (МФА). То есть, при заходе в ИТ-систему пользователю нужно предъявить как минимум еще одно доказательство и тем самым подтвердить, что он — это он. Поговаривают, что сотрудники Microsoft уже перешли на двухфакторную аутентификацию. При этом в корпорации добавляют, что шансы компрометации учетных записей при использовании “многофакторки” снижаются до ничтожных 0,1%.
Впрочем, “волшебной таблеткой” многофакторная аутентификация может стать только при правильном конфигурировании. Это не так легко: простор для ошибок достаточно большой, поэтому результат внедрения может оказаться ниже ожиданий. Вот наш хит-парад просчетов при внедрении МФА.
Ошибка №1. Второй фактор — на почту
При всей очевидности эту ошибку допускают регулярно. Вместе с тем, электронная почта — один из самых уязвимых для захвата каналов связи. Поэтому привязывать второй фактор к корпоративному почтовому ящику — плохая идея. Лучше использовать служебный смартфон, получить к которому доступ злоумышленникам намного сложнее.
Ошибка №2. Второй фактор — по SMS
Также отнюдь не блестящая идея — применение SMS как способ доставки второго фактора. ИБ-гуру Брайан Кребс просто разгромил подход SMS-двухфакторки несколько лет назад. После его статьи, собственно, обсуждать нечего. Эксперт подчеркивает: телефонные номера, на которые прилетают SMS, легко “угнать”, а потому для задач авторизации и аутентификации они в принципе не годятся.
Ошибка №3. PIN-кодовый безлимит
Устанавливая лимит в 3-5 неправильных паролей для обычной схемы авторизации, про ограничения частенько забывают в рамках внедрения МФА. А зря: брутфорс на втором факторе работает ничуть не хуже. На подбор 4-значного PIN-кода может уйти от нескольких минут до пары часов. Так что этого времени злоумышленникам лучше не давать. И блокировать учетную запись после 3-5 попыток неверного ввода второго фактора.
В заключение
Любая многофакторная аутентификация лучше, чем ее отсутствие. Этот очевидный тезис любят повторять эксперты от кибербеза. Практика показывает, что это во многом так. Да и целая корпорация Microsoft, скорее всего, себе в ногу стрелять не станет, используя недостаточно безопасное решение.
Однако, как и любая технология, МФА хорошо показывает себя лишь в случае грамотной настройки и “раскатывания” по всей компании без исключения. При всех многочисленные преимуществах подхода считать его способом избавления от рисков взлома не нужно. Скорее, технологию следует воспринимать как очередной шаг к повышению безопасности. И как способ разобраться, как именно выглядит для вашей организации оптимальный “второй фактор”.
