Решение проблемы слабых паролей для разных категорий пользователей и зон аутентификации

Решение проблемы слабых паролей для разных категорий пользователей и зон аутентификации
Актуальность проблемы

Одной из главных проблем, с которой сталкивается специалист по информационной безопасности при начале работ на предприятии, является использование слабых или стандартных паролей, которые, в большинстве своём, уже скомпрометированы.
Пароль – это секретная комбинация, позволяющая получить доступ к привилегиям учётной записи, и, в большинстве случаев, пользователи не придают этому особого значения. А ведь учетная запись — это, своего рода, паспорт человека. Также, можно провести аналогию с ключами от машины, квартиры или же PIN-кодом к банковской карте, в реальной жизни. Подобрав простую комбинацию или использовав средства перебора пароля по словарям стандартных (скомпрометированных паролей), злоумышленник может получить доступ к привилегиям учетной записи и выполнять действия от имени пользователя.
Сейчас, эта проблема решается тремя основными методами:
  • Парольная политика – организационно-распорядительный документ, принятый в компании;
  • Технические ограничения на введение простых паролей в Active Directoryи других информационных системах;
  • Двухфакторная аутентификация с применением независимого фактора для пользователя (токен, номер телефона (SMS), приложение (технология “push”) и т.д.).
Для интереса, вы можете проверить собственные пароли, соответствующие требованиям парольной политики на общедоступном ресурсе в сети Интернет https://haveibeenpwned.com/Passwords . Как это сделал я :-)
Однако, проблема остается актуальной до сих пор. Выполняя роль руководителя проектов в области кибербезопасности и расследовании инцидентов информационной безопасности, мне не раз приходилось в этом убеждаться:
  • При проведении тестирования на проникновение, компрометация учетной записи, методом перебора паролей, является наиболее простым и быстрым вектором атаки, позволяющим «пробить периметр» или получить административные привилегии. Статистика, проведённая нашей организацией, заставляет задуматься – успешность реализации данных векторов составляет, примерно, 85% случаев. А наши заказчики — это крупный сегмент бизнеса (крупные компании СФО, ДВФО и России);
  • При проведении технических аудитов мы разработали и автоматизировали услугу по проверке стойкости паролей в автоматизированной системе - извлечение хэшей паролей из автоматизированных систем, где это представляется возможным и осуществление перебора по нашим словарям. За неделю перебора – 10-17% успешно подобранных паролей.
После составление статистики, обоснованной объемами работ, стало понятно, что риск подбора паролей методом перебора по словарям, на текущий момент, необоснованно, занижен. Используя парольные политики и минимальные технические требования к паролям, специалисты по безопасности считают, что риск нивелировали. А, например, использование двухфакторной аутентификации для всех пользователей — это очень финансово ёмкий способ закрытия данного риска. В течении 2-х лет мы искали оптимальное решение данной проблемы – делали свои разработки по аудиту паролей, экспериментировали с различными вендорами, разрабатывающие механизмы усиленной аутентификацию, тестировали системы поиска аномалий в системах корпоративной аутентификации. В итоге, смогли подобрать комплексное решение, которое нас удовлетворило.

Решение

     Решение является составным и основывается на разных методах аутентификации для разных учетных записей и локаций аутентификации. Проектируя архитектуру решения, мы устанавливали сложность и надежность защиты окон аутентификации и повышали стойкость паролей от перебора, в зависимости от возможностей злоумышленника после получения привилегий. Чем больший ущерб мы несем при компрометации учетной записи, тем больше ресурсов мы затратим на ее защиту:
  • Для привилегированных учетных записей (это – системные администраторы, сетевые администраторы, администраторы критичных информационных систем) в обязательном порядке использующую двухфакторную аутентификацию. В основном, мы используем токены и стандартные (встроенные) механизмы аутентификации текущих информационных систем.  Редко, это биометрия и приложение на телефоне с дополнительными приложениями аутентификации.
  • Для аутентификации, в информационных системах и сервисах, которые смотрят «наружу» в сеть Интернет и позволяющие вслучае компрометации, попасть в внутренний периметр (OWA, RDP, VPN, SMTP и т.д.), тоже используем двухфакторную аутентификацию, но чаще это SMS и приложения с технологией «push». Например, решения – Fortiauthenticator или ESET secure authentication.
  • Остается самая большая категория учетных записей — это пользовательские учетные записи в Active Directory. Эта категория, где стоимость защиты должна быть минимальной, а работа с системой защиты максимально простой, ещё лучше незаметной. Здесь нам пришлось помучатся пока мы не вышли на небольшого Шведского вендора – Specopssoft. Предложенное ими решение позволяет исключить использование и создание пользователями и администраторами слабых паролей. Рассмотрим данное решение более подробно.
  • Для локальный привилегированных учетных записей мы предлагаем использовать утилиту Local Administrator Password Solution (LAPS), для создания длинных, сложных паролей и уникальных для каждой рабочей станции паролей. Для удобства используется централизованное защищенное хранилище паролей, где пароль можно найти по имени ПК. Описание настройки - https://www.atraining.ru/laps-local-administrator-password-solution/ .
Specops Password и Blacklist

Применение Specops значительно расширяет возможности настройки парольной политики Active Directory.Specops Password Policy помогает пользователям создавать надежные пароли и исключить факт создания уже скомпрометированного пароля, который легко можно найти, как в публичной сети Интернет, так и на различных «хакерских» форумах.
Настройка сложности паролей может быть нацелена на любой объект групповой политики Active Directory (пользователь, группа пользователей, компьютер). При этом расширение схемы Active Directory не производится, Specops Password Policy работает напрямую, в виде дополнения.  

Возможности Specops Password Policy, позволяющие решить проблему «слабых паролей»
  • Содержит, как встроенные словарные списки запрещенных паролей, так и взаимодействует с облачной  или локальной службой Specops Blacklist, которая проверяет вновь созданные пароли пользователей на возможность компрометации в сети Интернет, тем самым запрещая устанавливать пароли из этих списков;
             
  • Позволяет администраторам самостоятельно создавать парольные словари запрещенных к использованию слов. Имеется возможность загрузки не только текста, но и хеша пароля для анализа Specops Password Policy;
  • Позволяет запрещать к использованию пароли, содержащие популярные имена, города, дни месяца и т.д.
           
  • Позволяет запрещать очевидные смежные движения клавиш, такие как asdfgh, а также параллельные последовательности, такие как 1qaz2wsx, наиболее распространенные пароли клавиатурных комбинаций, например, qwerty;
  • Позволяет запрещать к использованию части логинов пользователей, номера компьютеров и т.д. при помощи механизма проверки пароля по регулярному выражению;
           
  • Подробно демонстрирует  пользователю компьютера ошибки при создании нового пароля, при этом имеется возможность «кастомизации» отображаемых  уведомлений;
     


     
  • Имеется функция проверки, создаваемых пользователем, парольных фраз по различным критериям и регулярному выражению.
           

Заключение
  1. Для привилегированных учетных записей и ключевых ресурсов необходима двухфакторная аутентификация.
  2. Необходимо запретить пользователям использовать скомпрометированные пароли, в идеале используя обновляемые словари.
  3. При соблюдении требований парольной политики Active Directoty, пользователи все равно будут создавать однотипные и легко угадываемые пароли, например, 1Qazxsw2, Qwerty123 и т.д. При этом, пользователи и даже администраторы могут не иметь представления о том, что создают уже скомпрометированные пароли.
  4. Пользователи создают пароли, содержащие имена, что делает их уязвимыми.
  5. Для локальных пользователей необходимо использовать утилиту LAPS.
  6. Пользователи и даже администраторы могут и не догадываться, что создают уже скомпрометированные пароли.
  7. В организации имеются мобильные сотрудники, а значит, они находятся в зоне риска. Пароли таких пользователей должны быть надежными!
  8. Зачастую, пользователи не довольны настройками сложности паролей, не понимают где они допускают ошибки при создании паролей.
Подводя итоги, можно сделать выводы о том, насколько в наше время актуален Specops Password Policy и BlackList. Эти продукты позволяют максимально снизить риски человеческого фактора при формировании паролей пользователями.

Автор: Прокопов Максим, Руководитель направления ИБ ГК Axxtel

Наш блог на Яндекс.Дзен
аутентификация информационная безопасность пентест системное администрирование
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь

ООО «Акстел-Безопасность»

Axxtel - команда экспертов в области информационной безопасности занимающая ведущие позиции в СФО. Мы следим за последними новинками и тенденциями в области информационной безопасности и создаем их. Всегда рады узнать новое и поделиться своим опытом.