Парольная защита (пароли)

Парольная защита (пароли)

Вопрос
Задать вопрос

Описание и назначение

Парольная защита — это программные средства, позволяющие обеспечить защиту от несанкционированного доступа и защиту самих паролей. Под паролем подразумевается набор символов, вводимый пользователем с клавиатуры, который необходим для того, чтобы подтвердить личность пользователя, либо его полномочия на доступ к данным или в систему (используя метод разграничения доступа). Парольная защита применяется с целью защиты от несанкционированного доступа. Обычно при входе в систему у пользователя запрашивается его идентификатор (логин), а также аутентификатор, которым чаще всего является пароль.

Многие существующие информационные системы должны соответствовать требованиям регуляторов (например, ФСТЭК России) для прохождения аттестации. Это касается информационных систем персональных данных (ИСПДн), а также государственных информационных систем (ГИС). Вне зависимости от уровня защищенности информационной системы и требуемого уровня защищенности персональных данных в системе должны выполняться меры по идентификации и аутентификации. В случае, когда в информационной системе используются пароли как средство аутентификации, они должны соответствовать определенным критериям:

  1. Минимальная длина пароля.
  2. Минимальная сложность пароля.
  3. Минимальное количество измененных символов.
  4. Максимальное и минимальное время действия пароля.

Также создаваемый пароль не должен совпадать с последними использованными паролями. Все это позволяет усложнить процесс подбора и компрометации пароля.

Помимо нормативных актов Российской Федерации, существуют международные рекомендации по созданию паролей — NIST (National Institute of Standards and Technology — Национальный институт стандартов и технологий). В 2017 году организация разработала поправки к ранее изданному стандарту. Новые рекомендации не требуют регулярной смены паролей (позволяя пользователям запомнить их пароль и не придумывать новый через 3 месяца), увеличивают максимальную длину пароля до 64 и более, ограничивают минимальную длину пароля 8 символами. При этом рекомендовано не заменять буквы одного слова на схожие по написанию символы, а использовать несколько не связанных между собой слов. Например, вместо пароля M!rr0r (в котором используются заглавные и прописные буквы, цифра и специальный символ), правильнее теперь использовать в качестве пароля подобный набор слов Mirror Country Parent Light, и не лишним будет добавить к нему цифры.

Такой подход позволяет пользователям проще запоминать их пароли, что исключает необходимость записи пароля на бумаге или хранения на компьютере, а также усложняет процесс подбора пароля злоумышленниками.

В случае, когда у пользователя слишком много различных паролей, может использоваться специальное программное обеспечение, которое позволяет хранить пароли в зашифрованном виде в специальной базе данных (для использования пароля его необходимо скопировать в буфер обмена и вставлять в форму для ввода пароля самостоятельно). Другим удобным программным средством являются менеджеры паролей, которые помимо хранения самого пароля способны генерировать пароли, автоматически их запоминать в связке с идентификатором (логином) и самостоятельно вводить пароли в необходимые формы приложений или веб-страниц по запросу пользователя.

При использовании менеджера паролей пользователю необходимо будет запомнить только один пароль, который нужен для доступа к базе данных менеджера паролей. Помимо этого, при использовании менеджера паролей пароли не могут быть перехвачены при вводе (просмотр клавиатуры или специальные вредоносные программы, которые запоминают нажатие клавиш клавиатуры), а также они не отображаются в процессе ввода на экране. Более того, многие менеджеры паролей имеют портативные версии, которые могут храниться на съемных устройствах, флешках, что позволяет обеспечить дополнительную безопасность, а также иметь возможность вводить необходимые пароли на любых устройствах.

Список средств защиты

Платформа Матрица
0
0 отзывов
TeddyID — система двухфакторной защиты, применяемая для аутентификации пользователей и авторизации их действий в интернет-сервисах, где важна безопасность (перевод денежных средств, персональные данные и др.)