Воспользуйтесь менеджером паролей

Итак, вы понимаете важность того, чтобы все люди в организации использовали для каждой из своих личных и корпоративных учетных записей длинные, произвольные и разные пароли, но как осуществить это на практике? Запомнить надежные пароли для десятков (если не сотен) учетных записей невозможно, поэтому всем приходится идти на хитрости. И самая неудачная из них – использовать повторяющиеся пароли. К счастью, вместо этого можно задействовать цифровые менеджеры паролей, что существенно упростит жизнь (и обезопасит работу с паролями). Такие приложения способны создавать, хранить и управлять паролями для вас и всей вашей организации, и ко многим из них можно получить доступ с компьютера или мобильного устройства. При использовании надежного менеджера паролей вам понадобится запомнить только один очень надежный, длинный пароль – так называемый «основной пароль» (его принято называть «мастер-пароль»), и при вы будете пользоваться всеми преимуществами в смысле безопасности, которые дает использование надежных, уникальных паролей для всех ваших учетных записей. С помощью этого основного пароля (а в идеале – еще и двухфакторной аутентификации (2FA), речь о которой пойдет в следующем разделе) вы будете открывать свой менеджер паролей паролей, чтобы разблокировать доступ ко всем остальным паролям. Помимо прочего, менеджеры паролей могут быть общими для нескольких учетных записей, что упрощает безопасный обмен паролями в организации.

Зачем использовать что-то новое? Неужели нельзя просто записать пароли на листочке бумаги или внести их в электронную таблицу на компьютере?

К сожалению, множество общепринятых подходов к управлению паролями не являются безопасными. Пароли, записанные на бумаге, могут украсть или подсмотреть, их легко потерять или сделать нечитабельными (если только вы не держите их в закрытом сейфе). Сохранение паролей в электронном документе на компьютере значительно упрощает для хакера – или для лица, укравшего компьютер – получение доступа как к самому устройству, так и ко всем вашим учетным записям. Использовать надежный менеджер паролей так же просто, как и обычный документ, но при этом он намного надежнее.

Почему мы должны доверять менеджеру паролей?

Качественные менеджеры паролей (при наличии в организации квалифицированных специалистов по безопасности) способны максимально обезопасить системы. Кроме того, хорошие приложения для управления паролями (некоторые из таких рекомендованы ниже) настроены так, что они не могут «разблокировать» ваши учетные записи. Это означает, что в большинстве случаев, даже в случае взлома или юридического принуждения к передаче информации, утеря или передача паролей сторонним лицам невозможны. Кроме того, важно помнить, что у противника гораздо больше шансов угадать ненадежный или повторяющийся пароль либо получить доступ к паролю в случае утечки данных в открытый доступ, чем взломать систему безопасности надежного менеджера паролей. Важно быть скептиком: вы определенно не должны слепо доверять любому программному обеспечению и приложениям, но у авторитетных менеджеров паролей есть все необходимые механизмы для надлежащей работы.

А как насчет хранения паролей в браузере?

Хранение паролей в браузере не имеет ничего общего с использованием надежного менеджера паролей. Иными словами, не стоит использовать Chrome, Firefox, Safari или любой другой браузер в качестве менеджера паролей. Безусловно, это лучше, чем записывать пароли на бумаге или сохранять в электронной таблице, однако базовые функции хранения паролей веб-браузера оставляют желать лучшего с точки зрения безопасности. Подобные недостатки также существенно снижают удобство для пользователя по сравнению с надежным менеджером паролей. А неудобства заставляют людей снова возвращаться к ненадежным методам создания и обмена паролями в организации.

К примеру, в отличие от специализированных менеджеров паролей, встроенные в браузеры функции «сохранить этот пароль» или «запомнить этот пароль» не предлагают простой совместимости с мобильными устройствами, кроссбраузерности и надежных инструментов для создания и проверки паролей. Наличие таких функций значительно увеличивает пользу специализированного менеджера паролей для безопасности вашей организации. В менеджерах паролей также предусмотрены внутрикорпоративные функции (например, совместное использование паролей), что повышает уровень безопасности не только отдельного пользователя, но и организации в целом.

Если вы сохраняли пароли в браузере (намеренно или ненамеренно), найдите время, чтобы удалить их.

Какой менеджер паролей лучше выбрать?

Существует множество надежных инструментов для управления паролями, которые можно настроить менее чем за 30 минут. Если вы ищете надежное онлайн-решение для своей организации, к которому можно получать доступ с нескольких устройств в любое время, попробуйте 1Password (от 2,99 долл. США за пользователя в месяц) или бесплатный менеджер паролей с открытым кодом Bitwarden. Оба этих решения отличаются надежной поддержкой и широко рекомендуются. 

An online option like Bitwarden can be great for both security and convenience. Bitwarden, к примеру, поможет создавать надежные уникальные пароли и получать доступ к паролям с нескольких устройств с помощью расширения браузера и мобильного приложения. В платной версии Bitwarden (10 долл. США в год) также предусмотрена функция создания отчетов о повторяющихся, слабых и предположительно взломанных паролях, чтобы вы всегда были в курсе последних событий. Установив свой основной пароль (так называемый «мастер-пароль»), активируйте двухфакторную аутентификацию, чтобы обеспечить максимальный уровень защиты хранилища менеджера паролей.

Очень важно соблюдать все меры безопасности при использовании менеджера паролей. Например, если вы используете расширение браузера менеджера паролей или выполняете вход в личный кабинет Bitwarden (или любого другого менеджера паролей) на устройстве, не забывайте выходить из системы после работы, если данное устройство используется кем-то еще или если вы полагаете, что его могут украсть. Оставляя компьютер или мобильное устройство без присмотра, обязательно выходите из личного кабинета менеджера паролей. При совместном использовании паролей в организации обязательно закрывайте доступ к паролям (и меняйте сами пароли) после увольнения сотрудников. Вы же не хотите, чтобы у вашего бывшего сотрудника сохранился доступ, например, к паролю к странице Facebook вашей организации.

Что если кто-то забудет свой основной пароль?

Основной пароль необходимо помнить. Надежные системы для управления паролями, включая рекомендованные выше, не запомнят ваш основной пароль за вас и не позволят вам сбросить его напрямую с помощью электронной почты, как это можно делать для веб-сайтов. Это важная функция безопасности, но она требует от вас обязательно запомнить ваш основной пароль при первой настройке менеджера паролей. Чтобы облегчить себе эту задачу, попробуйте настроить ежедневное напоминание основного пароля при создании учетной записи в менеджере паролей.

Что такое двухфакторная аутентификация?

Несмотря на надлежащую гигиену паролей, хакеры слишком часто их обходят. Чтобы защитить свои учетные записи от ряда распространенных в современном мире хакерских атак, потребуется еще один уровень защиты. Именно здесь в игру вступает многофакторная или двухфакторная аутентификация, также именуемые MFA или 2FA.

Существует немало замечательных руководств и ресурсов, объясняющих двухфакторную аутентификацию, в том числе статья Мартина Шелтона Двухфакторная аутентификация для начинающих и Полевое руководство по кибербезопасности на выборах 101 от Center for Democracy & Technology. Данный раздел в значительной степени перекликается с обоими указанными ресурсами и объясняет важность внедрения 2FA в организации.

Иными словами, 2FA усиливает безопасность учетной записи, требуя для доступа ввод второй части информации – это нечто большее, чем просто пароль. Как правило, вторая часть информации – это полученные данные, например код из приложения на телефоне, физический токен или ключ. Вторая часть информации представляет собой второй уровень защиты. Если хакер украдет ваш пароль или получит к нему доступ с помощью дампа паролей в результате серьезной утечки данных, эффективная двухфакторная аутентификация может помешать ему получить доступ к вашей учетной записи (и, следовательно, к личной и конфиденциальной информации). Крайне важно, чтобы в организации все использовали 2FA для своих учетных записей.

Как установить двухфакторную аутентификацию?

Существует три распространенных метода 2FA: ключи безопасности, приложения для аутентификации и одноразовые SMS-коды.

Ключи безопасности

Ключи безопасности – это оптимальный вариант, отчасти потому, что они практически полностью защищены от фишинга. Такие «ключи» представляют собой аппаратные токены (например, мини-USB-накопители), которые можно прикрепить к связке ключей (или оставить на компьютере) для обеспечения удобного доступа и безопасного хранения. Когда потребуется использовать ключ для разблокирования определенной учетной записи, вы просто вставите его в устройство и прикоснетесь к нему при появлении соответствующего запроса во время входа в систему. Существует широкий спектр моделей, которые можно приобрести в Интернете (20–50 долл. США), в том числе популярные YubiKeys У Wirecutter от New York Times есть полезное руководство с рекомендациями касательно покупки ключей. Имейте в виду, что один и тот же ключ безопасности можно использовать для любого количества учетных записей. В то время как ключи безопасности – это весьма дорогое решение для многих организаций, в рамках таких инициатив, как Программа дополнительной защиты от Google или служба Microsoft’s AccountGuard, данные ключи предоставляются бесплатно соответствующим группам риска. Свяжитесь с людьми, передавшими вам данное Пособие, чтобы узнать, могут ли они включить вас в подобную программу, или напишите по адресу  [email protected].

Приложения для аутентификации

Вторым оптимальным вариантом 2FA является использование приложений для аутентификации. Такие службы генерируют временный двухфакторный код для входа через мобильное приложения или отправляют push-уведомление на смартфон пользователя. К наиболее популярным и надежным приложениям относятся Google Authenticator, Authy, и Duo Mobile. Приложения для аутентификации – это отличный вариант еще и потому, что они работают даже при отсутствии доступа к мобильной сети и являются бесплатными для физических лиц. Однако приложения для аутентификации больше подвержены фишингу, чем ключи безопасности, поскольку пользователей можно обманом заставить ввести коды безопасности из приложения для аутентификации на фальшивом веб-сайте. Помните, что вводить код для входа можно только на легальном веб-сайте. Не «принимайте» push-уведомления о входе в систему, если не уверены, что это ваш запрос на вход. При использовании приложения для аутентификации также важно иметь резервные коды (подробнее ниже) на случай потери или кражи телефона.

Коды, отправляемые через SMS

Наименее безопасным но, к сожалению, и наиболее распространенным вариантом прохождения 2FA являются коды, отправляемые через SMS Поскольку SMS можно перехватить, а номера телефонов можно подделать или взломать через оператора мобильной связи, SMS – это отнюдь не самый лучший метод запроса кодов 2FA. Безусловно, это лучше, чем просто использовать пароль, но по возможности рекомендуется использовать приложения для аутентификации или физические ключи безопасности Достаточно решительный противник может получить доступ к SMS-кодам 2FA, просто позвонив в телефонную компанию и заменив вашу SIM-карту.

.

Когда будете готовы включить двухфакторную аутентификацию для всех учетных записей вашей организации, перейдите на данный веб-сайт (https://2fa.directory/) чтобы оперативно ознакомиться с информацией и инструкциями для конкретных служб (включая Gmail, Office 365, Facebook, Twitter и т. п.) и узнать, какие типы 2FA поддерживаются данными службами.

Что делать, если кто-то потерял устройство 2FA?

При использовании ключа безопасности следует соблюдать те же меры предосторожности, что при использовании ключей от дома или квартиры. Одним словом, не теряйте его. При этом, как и в случае с ключами от дома, рекомендуется иметь резервный ключ, привязанный к вашей учетной записи, который будет храниться в надежном месте (например, в домашнем сейфе или банковской ячейке) на случай потери или кражи.

В качестве альтернативы можно создать резервные коды для учетных записей, которые позволяют это сделать. Эти коды должны храниться в максимально безопасном месте, например в менеджере паролей или в физическом сейфе. Такие резервные коды можно генерировать в настройках 2FA большинства сайтов (в том же разделе, где включается двухфакторная аутентификация) и использовать в качестве резервного ключа в чрезвычайной ситуации.

Наиболее распространенные сбои двухфакторной аутентификации возникают, когда люди меняют или теряют телефоны с приложениями для аутентификации. При использовании Google Authenticator кража телефона чревата дополнительными проблемами, если сохранить резервные коды, генерированные во время подключения учетной записи к Google Authenticator. Поэтому если в качестве приложения 2FA вы используете Google Authenticator, обязательно храните резервные коды для всех подключаемых учетных записей в безопасном месте.

В приложениях Authy и Duo предусмотрены встроенные функции резервного копирования со строгими настройками безопасности, которые можно включить. В этих приложениях можно настроить параметры резервного копирования на случай поломки, потери или кражи устройства. См. инструкции к приложению Authy по ссылке, и к приложению Duo по ссылке.

Убедитесь, что в вашей организации с указанными инструкциями ознакомились все сотрудники, использующие двухфакторную аутентификацию для своих учетных записей.