Пароли в 2024 году: стоит ли доверять генераторам и менеджерам паролей?

Изображение: regularguy.eth (unsplash)

Одним из 3х наиболее частых инструментов проникновений в корпоративную сеть (наряду с фишингом и эксплуатацией уязвимостей на сетевом периметре) является проникновение через легитимные учетные записи со слабыми и скомпрометированными паролями.

Все мы уже хорошо знаем базовые правила “парольной гигиены”, но с увеличением количества учетных записей и требований к сложности паролей, управление ими (особенно в масштабах большой компании) становится всё более сложной задачей. На помощь приходят генераторы и менеджеры паролей. Но насколько они реально надежны? Давайте разберемся.

Что такое менеджер паролей, генератор паролей и что не является ни тем, ни другим?

Менеджер паролей — это программное обеспечение, которое помогает безопасно хранить, организовывать и автоматически заполнять пароли для различных сервисов. С его помощью вами и вашим сотрудникам необходимо будет запомнить только один мастер-пароль, а остальные пароли будут копироваться вами из менеджера паролей или даже автоматически подставляться при авторизации в нужном сервисе.

На российском рынке сейчас наиболее популярны 3 решения: ОдинКлюч, Пассворк и BearPass.

Частыми альтернативами менеджерам паролей являются:

• Использование одного и того же пароля для всех корпоративных сервисов (да, такой подход еще встречается в малом, а иногда и в крупном бизнесе из-за большого объема и трудности контроля).
• Записи паролей в облачных текстовых / табличных файлах, в мессенджерах или на бумаге (особенно прилепленной к монитору или “надежно спрятанной” под клавиатурой).
• Использование хранилища секретов, например Vault, для работы с паролями.

Эти методы небезопасны, так как подвержены риску утечек и взломов.

Теперь — к генераторам паролей. Генератор паролей — это инструмент, который создает сложные, (псевдо)случайные комбинации символов для использования в качестве паролей. Генераторы могут являться как частью менеджеров паролей, так и выступать отдельными сервисами или функциями в браузерах.

Стоит ли использовать генераторы паролей? Да, но…

Тут моё мнение будет однозначным — да, но лучше самописный или встроенный в менеджер паролей!

Почему использовать? Потому что, при правильной настройке входящих параметров в виде длинный и наличия спецсимволов, они позволяют минимизировать риск подбора пароля, который с появлением ИИ становиться всё более эффективным.

Так еще в 2023 году ИИ подборщик PassGAN смог подобрать 51% распространённый пароль из базы в 15,6 млн. паролей менее чем за минуту, 71% — менее чем за день, а 81% — менее чем за месяц (см. картинку ниже). С тех пор технологии брутфорса (подбора паролей) только усилились.

Соответственно, в 2025 году стоит, используя генераторы паролей, задавать следующие параметры:

• Длина пароля должна составлять минимум 13 символов;
• В пароле необходимо использовать комбинацию символов включая буквы, цифры, специальные символы.

📷

А теперь, почему не стоит использовать генератор паролей со “случайных” сайтов? При заходе на любой сайт он о нас уже многое знает: из какой мы страны и города, откуда мы узнали о них, какую периферию мы используем и т.д. Соединив всю эту информацию, разработчик генератора паролей может получить информацию о вас, которую можно будет использовать в киберпреступных целях.

Стоит ли использовать менеджеры паролей? Да, но…

Тут снова ответ “Да!”, но важен грамотный подход к выбору, чтобы решение было не только удобным в использовании, но и не нанесло ущерб компании за счет своей небезопасности.

При использовании корпоративных менеджеров паролей я выделю три основных риска:

1) Риск ослабления парольной политики с соответствующим ослаблением защищенности.

2) Риск взлома менеджера паролей с сопутствующей кражей сразу ВСЕХ хранящихся там паролей.

3) Риск недобросовестного поведения администратора или какого-то форс-мажара, связанного с ним, что может привести к краже им данных или потери доступа к менеджеру паролей.

Рассмотрим эти риски и вопросы для их оценки при выборе решения для своего бизнеса.

Как проверить возможный эффект на безопасность учетных данных?

Важно, чтобы внедрение менеджера паролей не ослабило политики безопасности. Ниже несколько вопросов про функции, положительно влияющих на качество паролей в компании.

• Есть ли поддержка двухфакторной аутентификации (2FA)? Это добавляет дополнительный сильный (если это не двухфакторка по имени отца и прочим простым вопросам) уровень защиты.
• Есть ли возможность задавать критерии по уровню надежности паролей? Без возможности проверки надежностей паролей, менеджер может упростить работу, но не сделает её более безопасной.
• Есть ли проверка скомпрометированных паролей? Наличие такое проверки поможет оперативно находить и заменять “утекшие” пароли.

Как проверить надежность менеджера паролей?

Все менеджеры паролей, естественно, позиционируют себя как максимально надежные, но есть несколько вопросов, которые помогут более тщательно оценить уровень защищенности.

• Какой алгоритм шифрования используется? Несмотря на то, что большинство самых популярных алгоритмов шифрования и хешированию обладают определенным запасом «прочности», они все равно могут устаревать и терять свою надежность. Если разработчик менеджера паролей не следит за инновациями, не вносит своевременно необходимые обновления, то его продукт будет только дорогостоящей иллюзией безопасности. На сегодня, наиболее надежными вариантами для РФ будут AES-256 и ГОСТ.
• В какой момент происходит шифрование? Шифрование данных должно происходить на стороне пользователя, до отправки в облако или на сервер. Это гарантирует, что, даже в случае взлома серверов, злоумышленники не смогут расшифровать ваши данные. Убедитесь, что менеджер паролей использует сквозное шифрование (end-to-end encryption).
• Прошел ли менеджер паролей публичное тестирование на безопасность? Рекомендую обратить внимание, в первую очередь, на те решения, которые проходили проверку на платформах Bug Bounty (программы, в ходе которых компании привлекают сторонних специалистов по безопасности для тестирования своего ПО).
• Используется ли в менеджере паролей открытый исходный код? По этому вопросы рассуждал в своей прошлой статье на CISOCLUB. С моей точки зрения, стоит избегать OpenSource в решениях сферы ИБ, так как это позволяет хакерам замаскировать свой вредоносный код в действительно полезной функции, внедрив его в продукт.

Как проверить зависимость менеджера паролей от администратора?

Прекрасная безопасность менеджера паролей может быть нивелирована излишними правами администратора. Ниже полезные вопросы для оценки.

• Какие права у админа? Имеет ли он доступ к базе? Если вы используете корпоративный менеджер паролей, важно понимать, кто имеет доступ к вашим данным, а некоторые решения наделяют администраторов “супер-правами”.
• Можно ли восстановить доступ в случае внезапного “ухода” админа? Если вы не хотите остаться с чемоданом без ручки в случае потери контакта или отношений с админом, лучше выбирайте решение, в которых есть решения на такой случай.

Менеджеры паролей — сильный инструмент повышения кибербезопасности, но бездумный выбор решения может привести к ещё большим рискам. Важно обратить внимание на способ шифрования, место где шифруется, как хранится ключ шифрования, на права у админа и другие особенности.

Автор: Вячеслав Макович, директор по маркетингу АБП2Б.

Оригинал публикации на сайте CISOCLUB: "Пароли в 2024 году: стоит ли доверять генераторам и менеджерам паролей?".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.