Вход — sdo.rzd.ru/lms Периодическая смена паролей — устаревшая практика, пришло время от неё отказаться
Во многих IT-системах действует обязательное правило периодической смены паролей. Это, пожалуй, самое ненавистное и самое бесполезное требование систем безопасности. Некоторые пользователи в качестве лайфхака просто меняют цифру в конце.
Такая практика вызывала массу неудобств. Однако людям приходилось терпеть, ведь это ради безопасности. Теперь этот совет совершенно не актуален. В мае 2019 года даже компания Microsoft наконец-то убрала требование периодической смены паролей из базового уровня требований безопасности для персональных и серверных версий Windows 10: вот официальное заявление в блоге со списком изменений к версии Windows 10 v 1903 (обратите внимание на фразу Dropping the password-expiration policies that require periodic password changes). Сами правила и системные политики Windows 10 Version 1903 and Windows Server 2019 Security Baseline внесены в комплект Microsoft Security Compliance Toolkit 1.
Можете показать эти документы начальству и сказать: времена изменились. Обязательная смена паролей — архаизм, теперь практически официально. Даже аудит безопасности теперь не будет проверять это требование (если он ориентируется на официальные правила по базовой защите компьютеров под Windows). Фрагмент списка с базовыми политиками безопасности Windows 10 v1809 и изменения в 1903, где соответствующие политики по времени действия паролей уже не применяются. Кстати, в новой версии по умолчанию также отменяются администраторский и гостевой аккаунты
Microsoft популярно объясняет в блоге, почему отказалась от правила обязательной смены пароля: «Периодическое истечение срока действия пароля является защитой только от вероятности того, что пароль (или хэш) будет украден в течение его срока действия и будет использоваться неавторизованным лицом. Если пароль не украден, нет смысла его менять. И если у вас есть доказательства того, что пароль украден, вы, очевидно, захотите действовать немедленно, а не ждать истечения срока действия, чтобы устранить проблему».
Далее Microsoft объясняет, что в современных условиях неправильно защищаться от кражи паролей таким методом: «Если известно, что пароль, вероятно, будет украден, сколько дней является приемлемым периодом времени, чтобы позволить вору использовать этот украденный пароль? Значение по умолчанию — 42 дня. Разве это не кажется смехотворно долгим временем? Действительно, это очень долго, и всё же наш текущий базовый показатель был установлен на 60 дней — а раньше на 90 дней — потому что форсирование частого истечения вводит свои собственные проблемы. И если пароль не обязательно будет украден, то вы приобретаете эти проблемы без пользы. Кроме того, если ваши пользователи готовы обменять пароль на конфетку, никакая политика истечения срока действия паролей не поможет».
Альтернатива
Microsoft пишет, что её базовые политики безопасности предназначены для использования хорошо управляемыми, заботящимися о безопасности предприятиями. Они также призваны служить руководством для аудиторов. Если такая организация внедрила списки запрещённых паролей, многофакторную аутентификацию, обнаружение атак с брутфорсом паролей и обнаружение аномальных попыток входа в систему, требуется ли периодическое истечение срока действия пароля? А если они не внедрили современные средства защиты, то поможет ли им истечение срока действия пароля?
Логика Microsoft на удивление убедительна. У нас два варианта:
- Компания внедрила современные меры защиты.
- Компания не внедрила современные меры защиты.
В первом случае периодическая смена пароля не даёт дополнительных преимуществ.
Во втором случае периодическая смена пароля бесполезна.
Таким образом, вместо срока действия пароля нужно использовать, в первую очередь, многофакторную аутентификацию. Дополнительные меры защиты перечислены выше: списки запрещённых паролей, обнаружение брутфорса и других аномальных попыток входа в систему.
«Периодическое истечение срока действия пароля является древней и устаревшей мерой защиты, — подводит итог Microsoft, — и мы не считаем, что для нашего уровня базовой защиты стоит применять какое-либо конкретное значение. Удаляя его из нашего базового уровня, организации могут выбирать то, что наилучшим образом соответствует их предполагаемым потребностям, не противореча нашим рекомендациям».
Вывод
Если компания сегодня заставляет пользователей периодически менять пароли, что может подумать сторонний наблюдатель?
- Дано: компания использует архаичный защитный механизм.
- Предположение: компания не внедрила современные защитные механизмы.
- Вывод: эти пароли проще достать и использовать.
Получается, что периодическая смена паролей делает компанию более привлекательной мишенью для атак.
Многие из нас, работая в технологических компаниях различного масштаба не раз сталкивались с не самой комфортной политикой со стороны службы безопасности. И если ключ-карты, учет рабочего времени и мониторинг сетевой активности являются нормой, при условии, что компании есть что скрывать от конкурентов, то постоянная смена паролей — мероприятие весьма утомительное.
Данное явление дошло до всех в различный период. Автор столкнулся c этой модой среди безопасников в уже далековатом 2013 году. Как гром среди ясного неба всю организацию оглушила новость: «в течении двух недель вы должны поменять пароли, а в дальнейшем его смена будет проводиться в принудительном порядке каждые три месяца». И я скажу вам, что это еще не слишком короткий период. В другой компании админ-самодур, иначе не назвать, который также выполнял и роль «службы безопасности» установил срок смены пароля в один месяц. Приятнее всего было, кстати, уйти в отпуск или на больничный и вернуться из него к заблокированной учетке (VPN отказывались давать даже под угрозой пыток), но это уже лирика.
Для тех, кто пользовался pass-менеджерами типа KeePass, это было не так уж и страшно, но та часть сотрудников, что помнила свои пароли наизусть, была немного (на самом деле много) опечалена. Постоянная смена паролей, вместо того, чтобы повысить уровень безопасности внутри организации приводит только к тому, что ее, безопасности, уровень понижается. И для этого есть целый ряд адекватных причин.
Большинство рядовых пользователей стремится свои пароли запоминать и pass-менеджерами пользуются далеко не все. Если вы рекомендуете своим родным или знакомым менять пароли раз в несколько месяцев, вы оказываете им медвежью услугу. Ведь постоянная смена пароля ведет:
- К его упрощению, ведь сразу запомнить сложный пароль тяжело, а пользоваться им придется, по всей видимости, постоянно;
- Как следствие, используются, например, только цифры, или буквы имени, даты и т.п;
- Если политика безопасности требует криптостойкий пароль с переменным регистром, цифрами и спец. символами, их начинают записывать на бумажки и клеить под клавиатуру. А некоторые еще и «ламинируют» скотчем. В особо тяжелых случаях клеится это дело на монитор.
Ярчайший пример «записывания», а в данном случае — распечатки паролей. В 2015 году на Хабре была статья о взломе французского телеканала, где в эфире в кадр попала обсуждаемая «памятка»
Окей. Если на персональном рабочем месте у нас есть возможность установить пасс-менеджер и не знать беды, то существуют ситуации, когда человек просто не может установить стороннее ПО на рабочий компьютер.
Вы никогда не задумывались, почему при проведении некоторых сложных операций в банке, кассир так долго, по вашему мнению, возится не пойми с чем?
В своей работе рядовой сотрудник (кассир) использует около десятка учетных записей в различном ПО или его сегментах. Кроме входа в учетную запись при проведении операции каждую нужно подтверждать собственным паролем плюс, достаточно часто — паролем старшего кассира или руководителя отделения (все мы слышали этот крик «КОНТРОЛЬ!»). От банка к банку все пароли могут меняться около раза в месяц, а некоторые и того чаще.
В теории, все выглядит прилично. Пароли везде, где это необходимо, не меньше восьми символов, везде разные. На практике все они повсеместно записываются на бумажках и хранятся в кармашках жилеток или под клавиатурой.
По итогу, вместо двухуровневой системы защиты мы получаем решето с уже упомянутыми «памятками» только потому, что бытует мнение о том, что «менять пароли просто так — это полезно».
Одним из наиболее распространенных путей запоминания пароля, если использование pass-менеджера невозможно, но пароль менять каждые N дней приходится, является его шаблонизация. Данный факт подтверждается исследованием в области безопасности сотрудниками Университета Северной Каролины еще за 2010 год.
В своей работе они сымитировали генерацию паролей пользователями исходя из принципа шаблонизации, а после, исходя из этого, провели «атаку» на счета с учетом перебора максимально вероятных паролей до того, как система безопасности среагирует на происходящее. По условиям задачи, в руках злоумышленников была «старая», неактуальная уже банковская база на 7700 учетных записей. На тот момент исследователям с учетом шаблонности паролей удалось получить доступ к 17% (!!!) банковских счетов менее чем за 5 попыток. Еще 41% процент счетов был взломан за, примерно, 3 секунды.
С более подробными алгоритмическими выкладками можно ознакомиться в самой работе.
Это исследование еще раз подтверждает то, что однажды созданный сложный пароль там, где у человека нет возможности использовать специализированное ПО для хранения ключей, лучше, чем постоянная замена более простыми вариантами.
Ведь наш мозг лентяй по природе своей, поэтому стремится все упростить и шаблонизировать. А это, в свою очередь, приводит к тому, что при попадании наших даже неактуальных данных в руки более-менее ушлых злоумышленников, постоянная смена пароля, если он шаблонный (а так чаще всего и происходит), нам не поможет, а только исключит возможность использования по-настоящему сложного для взлома ключа.
Угнали сегодня — воспользовались отстояв какое-то время: так что менять для праведной паранойи
Это идиотская забава параноиков от ИБ. Теоретически, предполагается, что это повысит защиту на невероятные величины, на практике это создает только неудобства. Нормальный пароль, из десятка символов больше сбутфорсить почти нереально, особенно если есть хоть минимальная защита, типа задержка хотя бы в секунду между вводами пароля. Единственный риск, который можно уменьшить — использование украденного пароля не бесконечное время, а до следующей смены — насколько это актуально — трудно оценить, разве что если кто-то шпионажем заминается, пароль от финансовых систем и тд можно использовать злоумышленнику и за пару секунд. Короче, один минусы — особенно для редко используемых систем — заходишь туда раз в месяц и каждый раз пароль не подходит потому что время менять прошло, сбрасываешь и тп. Один раз видел систему, где надо было каждую неделю менять, и это не банк какой — обычный чат, так если раньше были нормальные пароли у всех, то стали вида пароль1, пароль2, пароль125
Для систем без защиты от брутфорса, менять нужно. Допустим пароль имеет определенное количество символов, полный перебор которых у злоумышленника занимает год. Если вы не меняете пароль, то через год, аккаунт гарантированно украдут. А если меняете каждый месяц, то вероятность кражи всегда примерно одинакова и она намного меньше.
А меня в этой ситуации умиляет следующее — частая смена паролей заставляет пользователей писать бумажку и клеить ее на монитор, потому как не могут запомнить «длинный и сложный пароль, в котором есть обязательно буквы в обоих регистрах, цифры и знаки препинания»
Все зависит от критичности информации в информационной системе пользователя. Если информация довольно критична и представляет для злоумышленника интерес, продолжительный по времени (к примеру, получение доступа к результатам ведущегося исследования, проектным чертежам и т. ), то разумнее будет использовать смену пароля. Эта мера поможет избежать «перманентной» утечки информации — в случае компрометации, у пользователя будут скомпрометированы только те рабочие данные, которые были внесены до смены пароля. После смены пароля злоумышленник потеряет доступ к данным пользователя. В том же случае, если целью злоумышленника является вывод систем из строя или выполнение другой одиночной операции (тот же перевод средств), то смена пароля желательна, но не обязательна. С надежным паролем из полутора десятков символов злоумышленник будет возиться довольно долго, да и то только если будет уверен, что игра стоит свеч.
Пароль можно не только сбрутфорсить. Если включить режим параноика, то:
1. Если пароль используется в нескольких местах, и одно из этих мест хранило его в открытом виде, а потом у них утащили базу паролей, то злоумышленнику станет известен ваш несменяемый пароль. Чем чаще вводится пароль, тем больше вероятность, что кто-то наблюдавший за вводом сможет его запомнить. Причем необязательно запоминать весь пароль — любая полученная информация облегчит брутфорс. Если информация критичная и кто-то ну ОЧЕНЬ хочет на нее посмотреть, то возможен и вариант брутфорса.
Возможно пароли выгодно менять в случае смены компьютера. Например, вы настроили «запоминать пароль», а затем сменили компьютер. Сменить его можно по многим причинам, новое рабочее место, новое «железо для работы с производительными ПО» и т. В большинстве случаев, можно просто забыть удалить пароль вручную, т. простое удаление программы может оставить предыдущие настройки и после повторной установки просто подхватить их на лету.
Как раз АльфаКлик сегодня в обязательном порядке снова заставил сменить пароль.
Причем не дают использовать пароль, который я ранее использовал, года два назад.
Доброго времени суток, дорогие друзья, знакомые, читатели, почитатели и прочие личности. Сегодня кратко поговорим, как Вы поняли из заголовка, как часто менять пароли и почему стоит это делать.
Как показывает практика, смена паролей на большинстве важных для Вас ресурсов — это вещь весьма полезная и, пусть и не очень часто, но всё таки позволяет спасти Важную для Вас информацию и собственные аккаунты. Сию процедуру замены, по частоте, стоит проводить в засимости от того насколько защищены компьютеры, с которых Вы пользуетесь теми или иными запароленными ресурсами, причем речь идет не только об антивирусах и фаерволах, но и многом другом.
Например, приватности компьютера (у меня на работе пользователи зачастую забывают жать банально кнопку «Выход» из аккаунта, скажем, вконтакте), т. е о количестве человек, которые пользуются этим самым компьютеромами.
Так как часто менять пароли? Почему?
Оптимальная частота смены пароля составляет, в среднем раз в 1 (тридцать календарных дней) месяц для критических для Вас сервисов, вроде почты, электронных кошельков, банк-клиентов и тому подобного.
С чем это связано? Как минимум с тем, что Вы не знаете (в большинстве случаев) и не можете (большинство пользователей) не то что знать, кто именно из программ, как и когда украдет Ваш пароль, но и не в силах контролировать утечку пароля со стороны сайта, где Вы зарегистрированы. Поэтому вопрос как часто менять пароли как-никогда актуален в наше время.
Послесловие
Как упростить себе задачу? Попробуйте использовать генераторы и хранилища паролей, вроде LastPass, Random Password Generator и им подобным, а так же, крайне желательно, — никогда не храните пароль на бумажке в легкодоступном месте, особенно, если пароль от, повторюсь, важного Вам сервиса или, тем более, от работы.
В двух словах как-то оно вот так. Как и всегда, если есть какие-то вопросы, мысли, дополнения и прочее, то Вы можете оставить их в комментариях к этой статье. Ну и, да, можете рассказать как часто менять пароли на Ваш взгляд.
Примерное время чтения: 2 минуты
Только 10% россиян создают сложные пароли для аккаунтов в социальных сетях, почтовых службах и онлайн-магазинах. Такие данные представил производитель антивирусов Avast. Согласно опросу, большинство пользователей (94%) знают, что использовать одинаковые пароли для разных сайтов опасно, но при этом 67% россиян никогда не проверяют свои аккаунты на предмет того, имеет ли к ним кто-то доступ.
По словам специалистов, надежным и не требующим частой смены считается пароль от 10 до 20 знаков, представляющий собой легко запоминающуюся фразу, в которую вместо пробелов вставлены цифры или заглавные буквы, набор которых легко запоминается, но при этом не является датой вашего рождения, инициалами и т.
когда хочешь тогда и меняй у меня ваще без пароля
поставь один надёжный пароль и не парься
А нужно ли, если замочек под этот ключик в этой же машине, А по замочку лекго зделать ключик, придёт например инспектор какой нибудь, запустит программку, которая найдет все замочки, на вашем компе, и естественно по каждому запороленному файлу, архиву, программе выдаст все ключики.
Если не оговорено правилами, то по желанию. Для справки — у нас на работе была обязаловка (система сама вызывала окно смены пароля) каждые 40-50 дней. Причем пароль должен бы состоять минимум из 8-ми символов (большие и маленькие буквы + цифры) и не должен повторять 5 предыдущих.
2
нравится
комментировать
0
нравится
комментировать
Приказ 151. Прил
1
нравится
комментировать
Да много полезной и нужной информации!
Отрыв и скользящее смещение массы земляных, горных пород это
Тут правильные ответы на сдо ответы-сдо-ржд
12
нравится
комментировать
Укажите основание для изменения пароля пользователя в АСУ на — Ответ СДО РЖД
Укажите основание для изменения пароля пользователя в АСУ на первоначальныйОбращение пользователя в АСУ ЕСПППисьмо на имя начальника ИВЦЗвонок пользователя администратору системыЭлектронное сообщение на почтовый адрес администратора системы
Ввод номера пути может осуществляться как на стоянкахВвод поездных характеристик, выбор режима движенияКЛУБ-УП — система обеспечения безопасности, унифицированнаяПриступать к работам вблизи устройств контактной сетиРаботникам запрещается переходить или перебегать железнодорожныеВзрыв петарды требует: Немедленной остановки поездаЗвуковые сигналы выражаются числом и сочетанием звуковОбо всех обнаруженных неисправностях КЛУБ-УП машинистПоездной режим движения «П, Т» используется для передвиженияДля ввода координаты и характера ее изменения машинист
В каких случаях запрещается приступать к работе на компьютере? — Ответ СДО РЖД
В каких случаях запрещается приступать к работе на компьютере?При выраженном дрожании изображения на монитореПри наличии поврежденных кабелей или проводов, разъемов, штепсельных соединенийПри отсутствии или неисправности защитного заземления оборудованияВо всех вышеперечисленных случаях
- Всего: 874 вопроса
- Из них с иллюстрациями: 31 вопрос.
- Тесты КАСКОР, попавшие в альбом: 34 теста.
РЖД СДО вопросыРЖД СДО вопросы сентябрь 2020 бригадир пути на тему «Инструкция по обеспечению безопасности движения поездов при производстве путевых работ». Вопрос 1 из 5
Вопрос 2 из 5
Вопрос 3 из 5
Вопрос 4 из 5
Вопрос 5 из 5
Рекомендовано к изучению:Все ответы СДОСДО РЖД ответы по специальностямСДО Бригадир пути ответы по темамПомощь студентам железнодорожникам, каталог готовых студенческих работ на железнодорожную тематикуПоделиться в соц. сетях
СДО РЖДСДО РЖД – это система дистанционного обучения открытого акционерного общества «Российские железные дороги», предназначенная для проверки знаний, повышения квалификации работников рядового и начальствующего состава подразделений ОАО «РЖД», связанных с обеспечением безопасности движения на железнодорожном транспорте. Все служащие компании РЖД, заинтересованные в совершенствовании своих профессиональных навыков, в продвижении по карьерной лестнице, да и просто в поддержании приобретенных знаний на должном уровне с целью соответствия занимаемой должности, обязаны использовать СДО, периодически проходя экзаменационные тесты и осваивая курсы, которые имеются на сайте СДО РЖД. Обучающая платформа СДО доступна из любого места и в любое время, достаточно иметь доступ к сети интернет, и личные данные регистрации на портале. Учиться стало просто и интересно, и без отрыва от производства. Вопросы и задания, а так же весь обучающий план в СДО формируются в зависимости от выбранной специализации, профессии испытуемого, занимаемой должности в определенном подразделении. В оценке ваших знаний система использует определенный алгоритм и критерии, обусловленные знаниями нормативных регламентирующих документов, владения специализированными навыками и умениями, уровня психологической подготовленности и т. С помощью СДО РЖД проводится аттестация сотрудников всех уровней структурных подразделений, будь то — локомотивщики (ТЧ), путейцы (ПЧ), связисты (РЦС), СЦБисты (СЦБ), движенцы (Д), и многие другие службы. Данная процедура проста, максимально автоматизирована и не требует дополнительных инструкций, просто перейдите на страницу РЕГИСТРАЦИИ и выполните все необходимые действия. СДО РЖД ответы по темамСДО РЖД ответы по темам. Прислушавшись к советам пользователей сайта, и с целью систематизации информации, на данной странице публикуются результаты пройденных тестов, формирующиеся по мере их актуальности, специализации и определенной тематике. Для перехода к темам тестов перейдите на следующие страницы:Рекомендовано к изучению:Все ответы СДОПомощь студентам железнодорожникам, каталог готовых студенческих работ на железнодорожную тематику