Найти в Дзене
АБП2Б
9 подписчиков

Менеджеры паролей для бизнеса: как выбрать безопасный вариант?

1 мин
Существенная часть кибератак до сих пор начинаются с банальных, а, точнее, слабых, повторяющихся или украденных паролей. Какая разница, сколько стоит ваша ИБ-инфраструктура, если сотрудники используют «qwerty», «123456» и «SlojniyParol»? Часть из недавних шумных хакерских атак были реализованы, в том числе из-за халатного отношения к корпоративным паролям. Одна из основ эффективного парольного менеджмента (кроме регламентов, политик и неуклонности их соблюдения) — корпоративные менеджеры паролей. Что такое менеджер паролей и как он работает? Менеджер паролей — это ПО для безопасного хранения учётных данных и управления доступами. В результате: - Сотрудники — легко заходят в нужные сервисы (достаточно одного мастер‑пароля или пасскея). - Администраторы — управляют доступами сотрудников - Специалисты по ИБ — обеспечивают соблюдение требований по безопасности (от уровня сложности и отсутствия слитых паролей до надёжности их хранения) Это экономит время и является намного более безопасным

Существенная часть кибератак до сих пор начинаются с банальных, а, точнее, слабых, повторяющихся или украденных паролей. Какая разница, сколько стоит ваша ИБ-инфраструктура, если сотрудники используют «qwerty», «123456» и «SlojniyParol»? Часть из недавних шумных хакерских атак были реализованы, в том числе из-за халатного отношения к корпоративным паролям.

Одна из основ эффективного парольного менеджмента (кроме регламентов, политик и неуклонности их соблюдения) — корпоративные менеджеры паролей.

Что такое менеджер паролей и как он работает?

Менеджер паролей — это ПО для безопасного хранения учётных данных и управления доступами. В результате:

- Сотрудники — легко заходят в нужные сервисы (достаточно одного мастер‑пароля или пасскея).

- Администраторы — управляют доступами сотрудников

- Специалисты по ИБ — обеспечивают соблюдение требований по безопасности (от уровня сложности и отсутствия слитых паролей до надёжности их хранения)

Это экономит время и является намного более безопасным способом парольного менеджмента, по крайней мере, при грамотном выборе решения...

Что важно спросить при выборе менеджера паролей для организации?

Вопрос 1: Где происходит шифрование и какой алгоритм используется?

Если шифрование происходит на стороне клиента, а не сервера, то такое решение будет намного более надёжным. При шифровании на серверной части, в случае взлома сервера, злоумышленник получит доступ к зашифрованной базе и ключам шифрования, что выглядит совсем не безопасно.

Ну а стандартными алгоритмами безопасного шифрования являются ГОСТ и AES-256.

Вопрос 2: Какие права есть у администратора и можно ли восстановить доступ в случае его ухода?

В некоторых решениях администратор не только имеет возможности просматривать других пароли сотрудников, но и имеет эксклюзивные права по администрированию. Такого быть не должно.

Вопрос 3: Есть ли необходимые для вас интеграции?

Базой являются возможности многофактороной (MFA), LDAP, ALDPro и SSO аутентификации, а также наличие API для интеграции с другими системами.Для крупных компаний также важно наличие интеграции с системами мониторинга событий (SIEM).

Пользуйтесь менеджерами паролей, но относитесь серьёзно к их выбору.