Британская спецслужба: Пароли должны использоваться только там, где это действительно нужно
ЦПС подчеркивает важность минимизации «парольной нагрузки» на корпоративных пользователей.
Центр правительственной связи Великобритании (ЦПС) внес изменения в руководство по безопасности паролей. Подготовленный генеральным директором по кибербезопасности ЦПС Киараном Мартином (Ciaran Martin) документ наряду с полезными содержит ряд весьма спорных советов.
В руководстве поясняется, как злоумышленники могут взламывать пароли, и почему необходимо изменять учетные данные по умолчанию. Тем не менее, по мнению Мартина, регулярная смена паролей в компаниях вредит корпоративной безопасности, поэтому сотрудники должны изменять свои учетные данные только в случае, если есть риск компрометации. «Регулярная смена паролей скорее вредит безопасности, чем приносит пользу, поэтому не стоит обременять этим пользователей», – говорится в документе.
Мартин подчеркивает важность минимизации «парольной нагрузки» на корпоративных пользователей. «В системах и сервисах без особых требований безопасности парольная защита использоваться не должна. Технические решения (такие как однократная авторизация и синхронизация паролей) также помогут снизить нагрузку на пользователей», – сообщается в руководстве.
Эксперт уверен, что администраторы, требующие от пользователей менять пароль раз в 1-3 месяца, только увеличивают нагрузку на них. Вместо изменения старого пароля пользователи просто слегка модифицируют его. По мнению Мартина, проку от этого мало, учитывая, что злоумышленники используют похищенные пароли сразу же.
В документе рекомендуется для хранения записанных паролей использовать помещения с соответствующей защитой. Хранилища могут быть физическими (к примеру, специальные защищенные кабинеты), техническими (программное обеспечение для управления паролями) и комбинированными.
Автор: Александр Антипов
Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!