Для защиты рекомендуют (а в некоторых случаях и требуют) соблюдать сроки, в течение которых может использоваться конкретный пароль (обычно 90 дней или менее) без повторения. Смысл в том, что, как правило, необходимо много времени, чтобы подобрать длинный и сложный пароль, но в итоге это может быть сделано благодаря вычислительной мощности. Периодическое изменение паролей снижает риск того, что хакер добьется успеха, прежде чем будет использован новый пароль.
Примечание. В некоторых недавних документах, посвященных паролям, ставится под сомнение, действительно ли традиционная защита длинным, сложным и меняющимся паролем эффективна. Хотя эти средства защиты могут показаться на первый взгляд хорошими, исследования показывают обратное. Ознакомьтесь с документом Microsoft Research Password Guidance Робина Хикока (https://www.microsoft.com/en-us/research/publication/passwordguidance/) и документами доктора Кормака Херли, о котором мы поговорим в следующей главе, подвергающими сомнению традиционные рекомендации по паролям.
Это одна из лучших защит, но реализовать ее очень трудно (если не невозможно). Пользователи не должны использовать один и тот же пароль в разных системах. Повторное использование учетных данных повышает риск того, что хакер взломает одну из систем, захватит ваши общие учетные данные, а затем использует их для атаки на другую систему.
Это распространенная защита от подбора пароля. Там, где хакеры пытаются его подобрать (например, в интерактивном режиме), система аутентификации блокирует или замораживает учетную запись после заданного числа неправильных попыток. Блокировка может быть временной или потребовать, чтобы конечный пользователь позвонил в службу поддержки, чтобы повторно активировать учетную запись или сбросить ее на портале сброса пароля. Эта защитная мера побеждает многих хакеров и инструменты для подбора паролей, но имеет свои риски, поскольку функция блокировки может быть использована хакером для создания широко распространенной атаки с отказом в обслуживании.
Уязвимые хэш-функции не должны использоваться в системах аутентификации. Многие операционные системы по умолчанию используют устойчивые хэши, однако в целях обратной совместимости могут допускать использование менее стойких алгоритмов. В Windows хэши LM считаются уязвимыми и не должны использоваться. В Linux это хэши MD5 и SHA-1.
Требования к паролям становятся настолько длинными и сложными, что большинству пользователей может быть проще вообще его не использовать. Вместо этого следует прибегнуть к 2FA, биометрическим данным, маркерам безопасности, цифровым сертификатам – чему угодно, только не простому имени пользователя и паролю. Такая рекомендация существовала и раньше, но сейчас это особенно актуально. Если веб-сайт позволяет использовать что-то лучшее, чем пароль, не отказывайтесь.
Примечание.. Работа альянса FIDO (https://fidoalliance.org/) по избавлению от паролей через Интернет набирает обороты в отличие от многих предыдущих безуспешных попыток сделать то же самое. Проверьте сами.
Поскольку кража учетных данных с помощью таких атак, как PtH, стала настолько популярной в последнее время, многие операционные системы оснащены встроенными средствами защиты. Большинство из них сосредоточено на том, чтобы убедиться, что пароли/хэши недоступны в памяти для легкой кражи, или они не разделяют пароль и хэш через сетевые подключения.
Сервисы восстановления пароля – самые слабые звенья в системе аутентификации. Они должны всегда позволять пользователям создавать собственные уникальные и трудоемкие/исследовательские вопросы и ответы. Если они этого не делают, пользователи должны дать трудоемкие ответы на вопросы и надежно сохранить их для последующего использования. Например, на вопрос «Какая девичья фамилия вашей матери?» ответом может быть giraffedogfish. По сути, вы превращаете ответ на вопрос о сбросе пароля в другой альтернативный пароль.
Глава 22 посвящена доктору Кормаку Херли, чьи исследования паролей бросают вызов общепринятым убеждениям.
Доктор Кормак Херли – своего рода разрушитель. Он говорит вещи, которые бросают вызов давним догмам; не все хотят это слышать, особенно если вложили миллионы долларов и долгие годы в то, чтобы делать прямо противоположное. Доктор Херли в поисках истины использует анализ данных. Он хорошо понимает, что некоторые из его теорий, подкрепленные данными, просуществуют десятилетия, прежде чем будут приняты людьми.
Например, исследование компьютерных паролей. Общепринятое мнение в том, что пароли должны быть длинными, сложными, а также часто меняющимися. Исследования доктора Херли (https://www.microsoft.com/enus/research/wpcontent/uploads/2016/09/pushingOnString.pdf) показали, что суждения о безопасности, которых придерживается почти каждый специалист по ИБ, не всегда правильны и могут даже усугубить проблему. Исследование доктора Херли показало, что длинные и мудреные пароли не усложняют большинство взломов в наши дни и часто приводят к более высокому риску из-за проблем конечных пользователей (таких как запись паролей или повторное использование на разных сайтах). Он даже осмелился сказать, что «большая часть информационной безопасности – это пустая трата времени» (https://www.microsoft.com/en-us/research/wp-content/uploads/2016/02/SoLongAndNoThanks.pdf), и сам же это доказывает. Доктор Херли мне очень симпатичен.
Кормак Херли получил докторскую степень в Колумбийском университете, степень магистра в Университете Джорджии, а также учился в колледже Корк, Ирландия. В настоящее время он работает главным исследователем отдела машинного обучения Microsoft Research в Редмонде. И хотя доктор Херли работает в мире ИБ всего 10 лет, он написал тонну исследовательских работ, а многие крупные СМИ цитируют его или проводят с ним интервью (включая New York Times, The Wall Street Journal, Bloomberg и NPR).
Я спросил Кормака, как он очутился в сфере ИБ. «Я думаю, этому поспособствовала моя прозорливость, а также опыт в обработке аудио- и видеосигналов и цифровой фотографии. Это поле очень ориентировано на данные. Вы должны собрать много данных, проанализировать их, получить статистику и выяснить правду. Это действительно хорошо подготовило меня к работе в области ИБ, хотя я удивлен, что большинство специалистов этого не делают. Думаю, я очутился в сфере ИБ, когда кто-то прислал мне новую защиту от фишинга, основанную на анализе логотипов. Я увидел в ней много недостатков. Она была не слишком прочной. В итоге я занялся паролями и информационной безопасностью. Я видел много декларативных заявлений о паролях, но не было никаких доказательств того, что какие-либо из рекомендованных способов защиты действительно работали. Мне показалось странным, исходя из прошлого опыта, что никто не делал того, что я ожидал, – не собирал данные, не проводил эксперименты с использованием двух разных групп [включая контрольную группу] и не изучал результаты. Вместо этого люди делали декларативные заявления, которые даже после десятилетий использования не получили доказательств своей эффективности. Несмотря на то что в области ИБ данные могут быть скудны, именно они – моя основная правда.
Мы имеем определенные рамки для защиты ценных активов, ради которых должны делать все возможное. Но как насчет обычных бизнес-активов? Ясно, что следует расставить акценты. Мы не можем делать все сразу – это было бы до смешного трудно. Но скажите мне, какими из них я могу пренебречь? Ранжируйте список или предоставьте какой-то принцип ранжирования».
В мире ИБ много людей, которые либо игнорируют работу доктора Херли, либо обеспокоены ею. Об этом мы тоже поговорили, и вот что он сказал: «Я пришел в мир ИБ не для того, чтобы преднамеренно антагонизировать кого-либо. Но поскольку я только недавно начал работать в этой сфере, у меня не было устоявшихся культурных предубеждений, которые есть у многих. У меня был другой фон, обусловленный данными и необходимостью искать вспомогательные данные. Когда я не владел нужной информацией, я задавал фундаментальные вопросы о вещах, которые культура уже давно приняла. Я хотел получить данные, проверить и сделать эмпирический анализ… То есть заняться математикой. Это не только хороший, но и необходимый метод. Возможно, вы разработали модель того, как поведут себя 2 миллиарда пользователей, но они будут реагировать так, как захотят, независимо от вашей модели. Можно понадеяться, что произойдет, как вы задумывали, но я бы на вашем месте хотел понять, какова реальность, чтобы увидеть, есть ли между ней и моделью сходство. И если ваша модель неверна, измените ее».
Исследование паролей доктора Херли действительно перевернуло догму индустрии ИБ. Мне было интересно, как он относится к вероятности того, что его исследования и предложения относительно паролей могут просуществовать десятилетия, прежде чем станут общепринятыми. Он сказал: «Мне позвонили из Национального института стандартов и технологий [www.nist.org] с просьбой дать некоторые рекомендации касательно их паролей; я написал ответ, и они пытаются следовать советам. Я понимаю, почему мои слова расстраивают людей и организации информационной безопасности. Им говорили что-то, что было правдой на протяжении трех десятилетий, а затем появляется небольшая группа людей, которая утверждает, что их правда была на самом деле ложью. Есть тысяча других людей, которые утверждают обратное, и даже если некоторые из их суждений лучше подкреплены данными, я вижу, как это было бы неприятно, особенно для сотрудников безопасности и ИТ-директоров. У меня была возможность сесть и провести исследование, собрать данные и рассмотреть альтернативы. Но сотрудники безопасности и ИТ-директора не могут позволить себе роскошь исследовать только одну проблему. Они видят кучу противоречивых сообщений и пытаются определить, на какие из них нужно обратить внимание. Они должны сделать все возможное и использовать свою мудрость в отношении того, что происходит».
Я спросил доктора Херли, что, по его мнению, можно назвать самой большой проблемой в сфере ИБ. Он ответил: «Мы знаем, как идеально защитить ценные активы, такие как коды ядерных ракет. Компрометация недопустима, и поэтому мы делаем все возможное, чтобы защитить их. В отношении всего остального нужно расставить акценты: что делать, а что нет. У нас нет действительно качественных инструментов и данных, чтобы определить их заранее. Хороший эффект заключается в том, что люди делают все возможное, путаясь, по существу, случайным образом принимая решения, которые, им сказали, они должны сделать. С ценными активами проще. Не так сложно определить риск, количественно оценить его и создать правильную политику. Когда речь идет не о ценных активах, мы делаем в основном не то, что эффективнее, а то, что легче. Например, я не уверен, что суперсильный пароль так уж необходим, однако ему продолжают уделять огромную долю внимания и ресурсов. И в конце концов это касается всех нас».