Ввиду учащения краж учетных данных Microsoft призывает IT-администраторов укрепить защиту сетей и озаботиться обеспечением безопасности паролей и аккаунтов. В минувший четверг гигант софтверной индустрии опубликовал перечень лучших практик для администраторов, а также список новейших инструментов, которые разработчик предлагает пользователям для защиты учетных записей.

В блог-записи команды Active Directory отмечено, что поводом для такой публикации послужило недавнее известие о компрометации учетных данных 117 млн пользователей LinkedIn. С учетом распространенной практики повторного использования паролей эта хакерская акция потенциально может окончиться взломом других веб-аккаунтов. Однако Робин Хайкок (Robyn Hicock), занимающаяся в Microsoft вопросами защиты личностной информации, отмечает, что соблюдение адекватных мер профилактики способно предотвратить такие последствия. Эксперт рассмотрела рекомендации Microsoft в отдельной статье и советует их придерживаться во избежание дополнительных потерь, сопряженных с масштабными утечками.

Так, общепринятый подход к управлению паролями, по мнению Хайкок, никуда не годится. Большая длина, сложность и регулярное обновление пароля облегчают задачу хакерам. “Спрашивается — почему? Да потому, что при навязывании таких требований пользователь ведет себя весьма предсказуемо”, — поясняет автор статьи. Если пользователям предложить комбинировать несколько наборов знаков, большинство будет мыслить шаблонно. Частая смена пароля тоже не панацея, так как в итоге юзер начинает использовать один слабый пароль за другим.

“Пароли длиннее 10 знаков могут вылиться в тривиальное повторение вроде fourfourfourfour или passwordpassword”, — пишет Хайкок. Длинные пароли также скорее будут повторно использоваться на других сайтах или храниться в незашифрованном виде на ПК либо в облаке. “Мы ежедневно наблюдаем более 10 млн атакуемых аккаунтов, поэтому данных о том, какие пароли при этом задействованы, у нас предостаточно”, — отметила Хайкок.

Одновременно Microsoft приняла собственные меры защиты от слабых паролей. На платформе Microsoft Account Service добавлена функция Dynamically Banned Passwords, пресекающая выбор слабых вариантов пароля. Такой же механизм будет введен в тестовом режиме для клиентов Azure Active Directory в ближайшие месяцы.

“Когда дело касается списков утекших данных, киберпреступники и команда Azure AD Identity Protection ведут себя схожим образом: и те, и другие анализируют пароли, вычленяя наиболее часто употребляемые, — пишет Хайкок. — Однако плохие парни используют результат для проведения атаки”.

Функция Dynamically Banned Passwords оперирует списками текущих атак, предотвращая повторение сценария. Если защитные системы обнаружат мошенническую попытку подбора пароля онлайн, соответствующий аккаунт блокируется. В этот момент подключается другой механизм защиты паролей, Smart Password Lockout, который блокирует попытку стороннего доступа, извещая о ней законного владельца учетной записи. При этом последний сохраняет возможность входа в свой аккаунт, так как защитный механизм умеет “определять риски, связанные с конкретной логин-сессией”. “Более чем в половине случаев нам удается пресечь дестабилизацию работы клиентов и их пользователей”, — констатирует Хайкок.

Непременным условием использования Smart Password Lockout является обязательная многофакторная аутентификация. “Удостоверьтесь в исправной актуализации пользовательской информации (такой как резервный email-адрес, номер телефона или зарегистрированное устройство для получения push-нотификаций), необходимой для обеспечения должного уровня защиты, — советует Хайкок. — Это поможет получить нужный отклик на нарушение безопасности, а также облегчит оповещение в случае киберинцидента”.

Однако важнее всего, разумеется, наладить процесс создания сильных паролей. Список рекомендаций Microsoft в этом отношении возглавляет запрет на использование ходовых паролей, легко угадываемых подбором по словарю. Также разработчик советует:

  • научить пользователей воздерживаться от повторного применения корпоративных идентификаторов;
  • не использовать персональные данные, а также общеупотребительные слова и словосочетания;
  • никогда не использовать пароль к аккаунту Microsoft на других сайтах;
  • включить двухступенчатую проверку везде, где есть возможность.

Категории: Кибероборона