Британская спецслужба: Пароли должны использоваться только там, где это действительно нужно

image

Теги: ЦПС, Великобритания, пароль, безопасность хранилищ данных

ЦПС подчеркивает важность минимизации «парольной нагрузки» на корпоративных пользователей.

Центр правительственной связи Великобритании (ЦПС) внес изменения в руководство по безопасности паролей. Подготовленный генеральным директором по кибербезопасности ЦПС Киараном Мартином (Ciaran Martin) документ наряду с полезными содержит ряд весьма спорных советов.

В руководстве поясняется, как злоумышленники могут взламывать пароли, и почему необходимо изменять учетные данные по умолчанию. Тем не менее, по мнению Мартина, регулярная смена паролей в компаниях вредит корпоративной безопасности, поэтому сотрудники должны изменять свои учетные данные только в случае, если есть риск компрометации. «Регулярная смена паролей скорее вредит безопасности, чем приносит пользу, поэтому не стоит обременять этим пользователей», – говорится в документе.

Мартин подчеркивает важность минимизации «парольной нагрузки» на корпоративных пользователей. «В системах и сервисах без особых требований безопасности парольная защита использоваться не должна. Технические решения (такие как однократная авторизация и синхронизация паролей) также помогут снизить нагрузку на пользователей», – сообщается в руководстве.

Эксперт уверен, что администраторы, требующие от пользователей менять пароль раз в 1-3 месяца, только увеличивают нагрузку на них. Вместо изменения старого пароля пользователи просто слегка модифицируют его. По мнению Мартина, проку от этого мало, учитывая, что злоумышленники используют похищенные пароли сразу же.

В документе рекомендуется для хранения записанных паролей использовать помещения с соответствующей защитой. Хранилища могут быть физическими (к примеру, специальные защищенные кабинеты), техническими (программное обеспечение для управления паролями) и комбинированными.  

Автор: Александр Антипов

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.