Четыре способа заставить пользователей полюбить парольную защиту

Когда сотрудники той или иной организации находят общепринятые в ней меры безопасности обременительными и раздражающими, это может значительно увеличить риск внутренних угроз. Так, компания Gartner сообщила в одном из недавних отчётов, что 69% сотрудников в 2023 году регулярно пренебрегали рекомендациями по кибербезопасности в своей организации. Это не означает, что такие люди целенаправленно создают риски безопасности, чтобы напакостить руководству. Чаще это значит, что они просто хотят делать свою работу, не отвлекаясь ни на что лишнее, и рассматривают меры кибербезопасности как ненужные и времязатратные хлопоты.

Может ли кибербезопасность в принципе сочетаться с приятным пользовательским опытом?

Пароли — отличный пример столкновения кибербезопасности и пользовательского опыта. Исследование LastPass за 2021 год показало, что среднестатистический офисный сотрудник в среднем может иметь до 190 различных связок логинов и паролей. Разумеется, запомнить такое ошеломляющее количество и сопоставить их в голове с нужными сервисами — практически невозможно.

Исследователи также сообщили, что 61% опрошенных сотрудников признаётся в повторном использовании паролей в качестве попытки справиться с этой ситуацией. При этом большинство из них чётко осознаёт, что последствия такого подхода могут быть крайне плачевными для безопасности компании.

Итак, как же IT-отделы могут улучшить парольную защиту в своих организациях, зная, что пользователи уже измучены этими бесконечными мерами цифровой обороны и давно отдают приоритет удобству и скорости, осознанно жертвуя безопасностью.

Хотя многие технологические гиганты сейчас активно продвигают технологии беспарольного доступа, полное избавление от паролей, к сожалению, в настоящий момент всё же не является приемлемым вариантом для большинства организаций.

Именно поэтому крайне важно подобрать максимально эффективные методы обеспечения безопасности, которые параллельно смогут обеспечить и приятный пользовательский опыт. Ниже мы рассмотрим четыре лучших способа привлечь конечных пользователей к более ответственному использованию паролей, да так, чтобы им это даже понравилось.

1. Ключевые фразы для создания надёжных и легко запоминающихся паролей

Чаще всего хакеры используют грубые методы перебора, чтобы быстро испробовать множество различных вариантов подряд в попытке взломать пароль от конкретной учётной записи. Они часто сочетают эти методы со словарями известных уязвимых паролей, включая последовательные пароли типа «qwerty» или «123456», которые довольно часто применяют пользователи. Более короткие и менее сложные пароли гораздо более уязвимы для этого метода взлома, поэтому стандартным советом является создание более длинных паролей определённой сложности.

Разумеется, такие требования создают головную боль пользователям, которым теперь необходимо запоминать множество длинных и сложных паролей, в идеале состоящих из 15 символов и выше. Один из способов упростить им задачу — предложить использовать ключевые фразы вместо традиционных паролей.

Ключевая фраза — это три или более случайных слова, соединённых вместе, например, «Dog-Cat-Window-Sunlight». На первый взгляд такой пароль кажется довольно простым и небезопасным, однако даже он содержит 23 символа, спецзнаки и заглавные буквы. Этих факторов уже достаточно, чтобы на подбор пароля методом грубой силы ушла целая уйма времени. А если добавить ещё несколько спецсимволов или цифр, можно будет с уверенностью утверждать, что у хакеров нет ни единого шанса на успех. Главное — использовать такие слова, которые не будут связаны с деятельностью компании или личными данными конкретного пользователя.

В целом, ключевые фразы — это отличный способ заставить пользователей на конечным точках создавать более длинные и сложные пароли без увеличения их умственной нагрузки.

2. Рекомендации и обратная связь

Если попросить сотрудника создать новый пароль, часто у него может возникнуть ощущение, что все базовые знания покинули его голову, в связи с чем он начинает долгий мыслительный процесс, который может занять часы. «Какой бы пароль создать, чтобы было и удобно, и безопасно», — думает пользователь.

Очень важно быть на связи со своими коллегами в столь трудный для них момент: давать чёткие рекомендации и отвечать на вопросы. Никто не должен чувствовать себя так, будто предоставлен сам себе, когда предпринимает шаги, напрямую влияющие на безопасность всей организации.

В идеале, конечно же, сразу сделать исчерпывающую памятку со всеми рекомендациями и примерами, чтобы процесс создания пароля прошёл быстро и безболезненно. Но даже такие памятки зачастую не перекрывают потребности и вопросы пользователей.

Предоставление динамической обратной связи во время создания пароля — это не только возможность обучения пользователя, но и мгновенная проверка соответствия пароля требованиям политики безопасности. Советуясь с IT-специалистом, сотрудники могут в режиме реального времени понимать, соответствует ли их новый пароль политике компании, а если нет, то почему, и быстро исправить это.

3. Срок действия пароля на основе его длины

Никому не нравится, когда работа стопорится из-за необходимости в очередной раз менять рабочий пароль. Иногда этот момент наступает слишком быстро и страшно бесит даже самых добропорядочных сотрудников, которые относятся к безопасности со всей серьёзностью и трепетом.

Однако использование паролей с бесконечным сроком действия попросту недопустимо в современных реалиях, ведь такие пароли открывают множество дверей для коварных хакеров. Именно поэтому регулярная смена паролей так широко используются многими организациями.

Но почему бы не превратить потенциально негативный пользовательский опыт, связанный с вынужденной сменой пароля, в перспективную возможность?

Срок действия пароля в зависимости от его длины предоставляет конечным пользователям выбор. Они могут создать относительно простой и лёгкий пароль, который лишь частично соответствует требованиям организации, но им придётся вновь заменить его, к примеру, через 90 дней. Или же они могут увеличить длину пароля и как можно дольше не касаться этого вопроса, к примеру, ближайшие 180 дней.

Вместо того, чтобы все сотрудники сталкивались с принудительным сбросом пароля каждые 90 дней, гибкий срок действия пароля на основе его длины вознаграждает пользователей, выбирающих более длинные и безопасные пароли. Такое решение обеспечивает наилучший баланс между безопасностью и удобством использования.

4. Постоянный мониторинг взломанных паролей

Рассмотренные ранее методы весьма эффективны для того, чтобы помочь конечным пользователям создавать более надёжные пароли, а также предоставить им большую прозрачность и понимание политик безопасности их организации.

Тем не менее, даже надёжные пароли могут быть взломаны. Да и на 100% уверенным, что сотрудники компании не используют одни и те же пароли для авторизации сразу в несколько сервисов, тоже быть нельзя.

Именно поэтому нужно предусмотреть способ своевременно обнаруживать взломанные пароли и оперативно перекрывать потенциальные маршруты для атак.

Многие решения в сфере кибербезопасности имеют возможность с некой периодичностью проверять пользовательские пароли по утекшим спискам взломанных учётных данных, однако эти решения неидеальны, так как мониторинг не ведётся в реальном времени.

Оптимальным вариантом будет подобрать такое решение безопасности, которое будет непрерывно сканировать пароли на предмет утечки и незамедлительно уведомлять об этом администратора, а то и автоматически сбрасывать такой пароль, чтобы не оставить хакерам ни секунды на возможность компрометации.

Рынок решений для обеспечения информационной безопасности сейчас крайне разнообразен, поэтому отыскать продукт с таким функционалом не составит большого труда.

Заключение

Пароли необязательно должны вызывать негодование и раздражение. Как мы разобрались выше, при выборе правильного подхода к взаимодействию между IT-отделом и пользователями данная проблема просто исчезает сама собой.

Ключевые парольные фразы, обратная связь при сбросе пароля, срок действия, зависимый от длины, а также непрерывное сканирование на предмет взломанных паролей — отличные решения, которые способны существенно повысить безопасность любой организации.

Совместными усилиями IT-специалистов и конечных пользователей можно добиться небывалой эффективности защиты данных. Главное — выстроить комфортное взаимодействие между этими двумя сторонами, а затем лишь пожинать плоды успеха и не переживать за безопасность компании.