Проблема админов


Даррен Джеймс, специалист по продуктам Specops Software, предупредил, что, например, сброс паролей является особенно неприятной проблемой для системных администраторов, поскольку они часто могут блокировать конечных пользователей.

Переход к работе из дома подталкивает системных администраторов к новым нормам безопасности. Это включает в себя новые важные задачи, такие как принятие облачных приложений, удаленный доступ к цифровым активам и поддержка удаленных клиентов, и многие другие.

Тем не менее, хорошая старомодная защита паролей остается центральной для управления доступом, управления идентификацией и защиты цифровых данных компании. Эта традиционная локальная практика теперь имеет некоторые новые, локальные сложности.

 

Даррен Джеймс, специалист по продуктам Specops Software, предупредил, что, например, сброс паролей является особенно неприятной проблемой для системных администраторов, поскольку они часто могут блокировать конечных пользователей из своих учетных записей. Он сказал, что проблема возникает, когда пароли сбрасываются вручную для удаленных работников.

«Проблема заключается в локальных кэшированных учетных данных. Обычно они позволяют пользователям проверяться на подлинность, когда недоступен контроллер домена », — написал Джеймс в недавнем сообщении в блоге. «При удаленной работе возникает проблема, когда пароль меняется или сбрасывается. Старые учетные данные все еще будут кэшироваться, и [или] не будут автоматически заменены новыми учетными данными с использованием нового пароля».

Это приводит к тому, что работники блокируются из своих учетных записей: «[Они] оказываются в ситуации, когда им нужно запомнить как старый пароль, так и новый пароль», — сказал он.

Способы решения

Джеймс сказал, что есть несколько способов обойти эту проблему, но также отметил, что инструменты для самостоятельного сброса пароля могут облегчить головную боль. Например, Specops предлагает сброс пароля предприятия для удаленных пользователей.

«Наш инструмент для сброса пароля позволяет пользователям безопасно сбрасывать свои пароли Active Directory прямо с экрана входа в Windows», — написал он. Он сказал, что инструмент Specops позволяет избежать блокировки учетной записи путем обновления локальных кэшированных учетных данных, даже если недоступен контроллер домена.

Фирма также предлагает ряд бесплатных решений для управления паролями, что приводит нас к нашему первому совету по паролям для обеспечения нормальной работы нового дома (WFH).

 

Реальные советы

Совет 1. Используйте бесплатные инструменты управления паролями

Specops предлагает две бесплатные утилиты для управления паролями — Specops Password Auditor и Email с уведомлением об истечении срока действия пароля. Последний работает, как следует из его названия, автоматически отправляя пользователям напоминание об изменении их пароля до истечения срока его действия. Тем временем Specops Password Auditor сканирует Active Directory компании и выявляет уязвимости, связанные с паролями. «Собранная информация генерирует несколько интерактивных отчетов, содержащих информацию о политике пользователя и пароле», в соответствии с описанием продукта.

 

Совет 2: заблокируйте пароли устройства

По мере того, как все больше устройств Интернета вещей (IoT) проникают в наши домашние офисы — от камер безопасности и облачных принтеров до интеллектуальных лампочек и термостатов, а также цифровых помощников — гигиена паролей вышла за рамки обычных настольных компьютеров, смартфонов и ноутбуков. Эксперты рекомендуют убедиться, что устройства не настроены с заводскими настройками, которые предоставляют легко взламываемые, простые или стандартные пароли. Многие атаки на устройства домашней сети осуществляются в форме атак с использованием учетных данных или нацеливания на известные уязвимости безопасности. В то же время учетные данные по умолчанию используются хакерами для взлома плохо управляемых кабельных модемов, маршрутизаторов и устройств сетевого хранилища (NAS).

 

Совет 3: Используйте бесплатные инструменты настройки пароля

По оценкам Forrester Research, из 43 процентов нарушений, связанных с внешними атаками, 29 процентов из них используют украденные или утекшие учетные данные. Чтобы предотвратить это, сотрудники могут проверить, не были ли украдены их учетные данные, с помощью бесплатного сервиса «У меня есть Pwned». Это позволит им узнать, являются ли какие-либо из их адресов электронной почты и паролей частью утечки данных в прошлом. Кроме того, удобный, бесплатный инструмент для работы в браузере доступен через веб-браузер Google Chrome. Зайдите в меню настроек браузера Chrome, выберите «Пароли», а затем нажмите «Проверить пароли». Инструмент Chrome отсканирует область сохраненных паролей браузера и сообщит, сколько из них было взломано в Интернете.

 

Совет 4: Повысьте свою стратегию нулевого доверия

Безопасность с нулевым доверием — это ИТ-жаргон, требующий строгой проверки личности для любого сотрудника или устройства, запрашивающего доступ к ресурсам компании — независимо от того, находятся ли они внутри или за пределами периметра сети. Два решения с нулевым доверием для управления учетными данными — многофакторная и двухфакторная аутентификация (MFA и 2FA). MFA может включать биометрические решения, в которых пароль сочетается с проверкой лица или отпечатка пальца. 2FA требует, чтобы пользователь ввел свое имя пользователя и пароль для доступа к учетной записи, а затем ввел чувствительный ко времени пароль, отправленный на отдельное устройство.

 

Совет 5: подавьте повторное использование пароля

Здравый смысл заключается в том, что использование разных паролей для разных учетных записей является лучшей практикой безопасности. И все же 65 процентов пользователей по-прежнему используют одни и те же пароли для своих личных и рабочих учетных записей, согласно недавнему опросу, проведенному Google. Отдельное исследование LastPass показало, что средний человек повторно использует каждый пароль до 14 раз. Эта слабая практика безопасности широко распахивает дверь для хакеров. Если злоумышленник может взломать один пароль учетной записи, есть большая вероятность, что к нескольким учетным записям одного и того же пользователя также можно получить доступ.

 

Хотя решение проблемы повторного использования пароля не так ясно, как сама проблема, исследование, проведенное Университетом Индианы (IU) в 2018 году, показало, что часть решения заключается в том, что ИТ-менеджеры устанавливают политики, которые требуют более длинные и более сложные пароли.

 

«Требования к парольной фразе, минимальная длина в 15 символов, удерживают подавляющее большинство пользователей IU (99,98 процента) от повторного использования паролей или парольных фраз на других сайтах», — говорится в исследовании. Исходя из того, что чем длиннее и случайный пароль или фраза, тем сложнее его запомнить и использовать повторно.

 

Длинные пароли могут быть одним из способов. Тем не менее, Национальный институт стандартов и технологий (NIST) предупредил в январском отчете, что чем более громоздкой является политика паролей, тем больше будет удар по производительности сотрудников, что в конечном итоге приведет к плохой гигиене паролей, поскольку люди выбирают простой путь для быстрого доступа.

Другими словами: правильный баланс пароля / параметра безопасности является ключевым.

 

Управление паролями WFH: никуда не денется

Поскольку ограничения на возвращение людей в свои офисы постепенно снимаются, становится очевидным, что удаленное ИТ-управление сотрудников и их паролей будет продолжаться. Согласно недавнему исследованию Gartner, три четверти (74 %) компаний, которые отправили рабочих домой в начале этого года, планируют оставить часть этой рабочей силы на неопределенный срок.

Пароли будут оставаться важным компонентом в поддержании высокого уровня безопасности. По словам Джеймса, лучший способ для групп безопасности высвободить ИТ-ресурсы — это надежно контролировать безопасность паролей.

Источник: threatpost.com

Перевод: Анна М.

Понравилась статья? У нас таких есть еще — www.cryptocity.tech