Нужны ли сложные пароли?

Попробуем разобраться нужны ли сложные пароли и какие политики паролей использовать, а также немного затронем методы аутентификации.

Степень сложности пароля

Среднестатистическому пользователю сложно запомнить длинные и мудреные пароли. Потому такие пароли обычно записывают на стикер и лепят на монитор, что конечно же не безопасно. Может подглядеть любой прохожий. Но не стоит впадать в крайность и сильно упрощать требования к паролям. Тогда пользователи могут распоясаться и начать ставить пароли вроде 123, что вообще не допустимо особенно когда есть ресурсы, которые транслируются в интернет и аутентификация в них завязана например под LDAP (Active Directory). Попробуйте сами запомнить пароль «iepah6Ei» (иепахшестьей). Довольно сложно. То ли дело запомнить «Apaenah1» (апаенахи). Как видите в сложности пароля роль играет не только их длина, но и созвучность, которая позволяет лучше запомнить пароль используя простейшую мнемоническую технику.

Политики паролей

Надо учитывать срок паролей. Лучше делать их бессрочными поскольку частая смена пароля тоже приводит к тому, что людям это надоедает и они начинают ставить более простые пароли особенно когда беда с фантазией, а такое неизбежно произойдет с каждым, кто работает длительное время в организации.
Отсюда делаем вывод, что лучше использовать бессрочные пароли с минимальной длиной в 4 символа, с заглавными буквами, цифрами и возможностью менять пароль самими пользователями, а чтобы контролировать качество пароля использовать политику паролей.

Предлагаю посмотреть ролик про пароль 🙂

Методы аутентификации

Слышали ли слова «авторизация» и «аутентификация»? Задумывались ли, чем они отличаются? Авторизация это подтверждение прав доступа путем подтверждения аккаунта т.е. по комбинации имя пользователя и пароль пользователю назначаются те или иные права доступа. Аутентификация же в свою очередь это просто подтверждение аккаунта. Механизм используется один, но что для администратора и модератора авторизация, то для пользователя аутентификация. Возможно поэтому в последнее время все чаще используется более обобщенный термин «логин» или «войти».
Из методов аутентификации для веб-сайтов я бы посоветовал использовать протокол OAuth (Open Authentication Protocol). Он априори избавлен от атаки типа брутфорс (bruteforce — перебор). Если нет такой возможности, то использовать двухфакторную аутентификацию. Это когда после ввода пароля надо еще ввести пин-код или так называемый одноразовый пароль (OTP — One Time Password/Passcode). Если нет и такой возможности, то использовать программу вроде Fail2Ban, который позволяет забанить атакующего на некоторое время после нескольких неудачных попыток аутентификации анализируя access log веб-сервера. В идеале скомбинировать все эти методы.
Для Wi-Fi бы посоветовал использовать WPA2 Enterprise вместо WPA2 PSK, который при аутентификации сверяется с базой LDAP (Active Directory) через RADIUS сервер. Предположим есть сотрудник, смартфон которого подключен к корпоративной беспроводной сети с защитой WPA2 PSK. После увольнения он захотел прослушать сетевой трафик с целью украсть пароли с внутренних реурсов не защищеных шифрованием SSL/TLS. Все что ему нужно это подойти максимально близко к зданию, чтобы словить сигнал. Тогда смартфон автоматически подключится к сети используя ранее сохраненный пароль. Этого бы не произошло, если бы беспроводная сеть использовала защиту WPA2 Enterprise, поскольку при увольнении его аккаунт был бы заблокирован или удален из базы данных.
Тогда вопрос «почему бы не контролировать доступ по MAC-адресам»? Потому, что количество устройств легко может перевалить за сотню и постоянно увеличиваться. Тогда уже будет проблематично регистрировать их по MAC-адресам. Также в точках доступа или в RADIUS серверах обычно отсутствует возможность добавлять описание к MAC-адресам, что усложняет процесс поиска необходимого адреса.

WPA2 Enterprise VS WPA2 PSK