Рекомендації щодо політики паролів для Office 365

Співавтори: Квеку Aко Аджей
Останнє оновлення: 1 грудня 2017 р.

Як адміністратор Office 365 в організації ви відповідаєте за налаштування політики паролів для користувачів. Налаштування політики паролів може бути складним і заплутаним, і в цій статті наведено рекомендації щодо захисту організації від атак, спрямованих на розкриття паролів.

Відомості про те, як налаштувати політику складності паролів в організації, див. в цій статті.

Щоб дізнатися, як налаштувати термін дії паролів Office 365, див. статтю Установлення політики терміну дії для пароля в організації.

Роз’яснення рекомендацій щодо паролів

Рекомендації щодо створення надійних паролів поділяються на кілька загальних категорій:

  • Опір поширеним атакам. Тут ідеться про оптимальні характеристики пристроїв, на яких користувачі вводять паролі (відомі та надійні пристрої з можливістю швидко виявляти шкідливе програмне забезпечення та переліком перевірених сайтів), і властивості паролів (довжина та унікальність).

  • Стримування успішних зловмисних атак. Мова йде про те, щоб обмежити наслідки атаки певною службою або запобігти шкоді в цілому, якщо пароль користувача викрадено. Наприклад, надійна політика паролів передбачає, що внаслідок крадіжки облікових даних для соціальної мережі банківський рахунок не опиниться під загрозою, а погано захищений обліковий запис не прийматиме посилання для скидання налаштувань важливого облікового запису.

  • Розуміння людської природи. Багато ухвалених методик створення паролів не беруть до уваги природну поведінку людей. Надзвичайно важливо враховувати людську природу, оскільки дослідження свідчать про те, що майже кожне правило, яке ви вводите для користувачів, призводить до зниження якості паролів. Вимоги щодо спеціальних символів, довжини паролів і частоти їх змінення призводять до упорядкування паролів, завдяки чому зловмисникам легше вгадати або зламати їх.

Рекомендації для адміністраторів щодо паролів

Основна мета безпечної системи паролів – урізноманітнити їх. Відповідна політика має передбачати використання великої кількості різних паролів, які важко вгадати. Ось кілька рекомендацій, які допоможуть підтримувати максимальну безпеку організації:

  • Установіть мінімальну довжину паролів – 8 символів (довші паролі не обов’язково кращі).

  • Не вимагайте використовувати комбінації символів, наприклад: *&(^%$.

  • Не вимагайте обов’язково періодично змінювати паролі для облікових записів користувачів.

  • Забороніть поширені паролі, щоб у систему не потрапили найуразливіші з них.

  • Навчіть користувачів не застосовувати повторно паролі організації для цілей, не пов’язаних із роботою.

  • Налаштуйте примусову реєстрацію для багатофакторної автентифікації.

  • Увімкніть перевірки з використанням багатофакторної автентифікації на основі ризиків.

Інструкції для користувачів щодо паролів

Нижче наведено кілька інструкцій щодо вибору паролів для користувачів в організації. Повідомте їм про ці вимоги та примусово застосуйте рекомендовані політики паролів на рівні організації.

  • Не застосовуйте пароль, який уже використовуєте для іншого веб-сайту, або подібний до нього.

  • Не використовуйте одне слово, наприклад пароль, або поширену фразу, як-от доброгоранку.

  • Створюйте паролі, які важко вгадати навіть тим, хто багато про вас знає. Наприклад, не використовуйте імена та дні народження друзів і родичів, назви улюблених груп і фрази, які часто промовляєте.

Деякі поширені методики та їхні негативні наслідки

Нижче наведено деякі найпоширеніші методики забезпечення якості паролів і їхні негативні наслідки згідно досліджень.

Вимоги до терміну дії паролів для користувачів

Вимоги до терміну дії паролів завдають більше шкоди, ніж приносять користі. Вони змушують користувачів вибирати передбачувані паролі, що складаються з послідовних слів і чисел, тісно пов’язаних між собою. У таких випадках наступний пароль можна передбачити на основі попереднього. Вимоги до терміну дії паролів не стримують атаки, оскільки кіберзлочинці майже завжди використовують облікові дані одразу після того, як розкриють їх.

Вимога створювати довгі паролі

Вимоги до довжини паролів (понад 10 символів) можуть спровокувати передбачувану й небажану поведінку користувачів. Наприклад, користувачі, від яких вимагається встановлювати паролі, довші за 16 символів, можуть застосовувати повторювані комбінації, наприклад чотиричотиричотири або парольпарольпароль. У такому разі вимога до кількості символів виконується, але пароль легко вгадати. Крім того, вимоги до довжини паролів збільшують імовірність того, що користувачі впровадять інші небезпечні методи. Наприклад, вони можуть почати записувати паролі, повторно їх використовувати або зберігати незашифрованими в документах. Щоб заохотити користувачів створювати унікальні паролі, радимо дотримуватися розумної вимоги до мінімальної довжини паролів – 8 символів.

Вимога використовувати кілька наборів символів

Вимоги до складності паролів скорочують простір ключів (загальну кількість можливих паролів) і змушують користувачів діяти передбачувано, що завдає більше шкоди, ніж приносить користі. У багатьох системах примусово встановлено певний рівень складності паролів. Наприклад, паролі мають містити символи з усіх трьох наступних категорій:

  • символи верхнього регістру;

  • символи нижнього регістру;

  • символи, відмінні від букв і цифр.

Більшість користувачів застосовують схожі шаблони, наприклад ставлять велику букву на початку пароля, а в кінці – символ, перед яким іде цифра. Кіберзлочинці знають про це, тому виконують добір пароля за словником із найпоширенішими замінами: символ $ замість букви s, символ @ замість букви a, цифра 1 замість букви l. Вимога до користувачів застосовувати комбінацію букв верхнього та нижнього регістра, цифр і спеціальних символів, призводить до негативних наслідків. Деякі вимоги до складності паролів навіть заважають користувачам застосовувати безпечні й пам’ятні паролі та змушують обирати менш надійні варіанти, які важно запам’ятати.

Успішні методики

Нижче наведено деякі рекомендації, які допоможуть досягти різноманіття паролів.

Забороніть поширені паролі

Найважливіше обмеження, яке слід застосувати до паролів, що створюють користувачі,  – це заборона використовувати поширені паролі. Цей захід зробить організацію менш уразливою до грубих атак, спрямованих на підбір паролів. Приклади поширених паролів користувачів: абвгґде, пароль, мавпа.

Навчіть користувачів не застосовувати паролі організації в інших системах

Одна з найважливіших вимог, яку слід чітко викласти користувачам: паролі організації не можна застосовувати в жодних інших місцях. За використання паролів організації на зовнішніх веб-сайтах значно зростає ймовірність того, що вони стануть відомі кіберзлочинцям.

Налаштуйте примусову реєстрацію для багатофакторної автентифікації

Переконайтеся, що користувачі оновлюють контактну інформацію та відомості, які потрібні для підтримання безпеки, як-от додаткова адреса електронної пошти, номер телефону або пристрій, зареєстрований для отримання push-сповіщень. Таким чином вони зможуть реагувати на заходи щодо перевірки безпеки та отримуватимуть сповіщення про події, пов’язані з безпекою. Ці актуальні відомості допоможуть користувачу підтвердити свою особу, якщо він забуде пароль або хтось спробує заволодіти його обліковим записом. Це також додатковий канал, яким надсилаються повідомлення, коли стаються події (як-от змінення паролів або спроби входу), що можуть порушити безпеку.

Додаткові відомості див. в статті Налаштування багатофакторної автентифікації для користувачів Office 365.

Увімкніть багатофакторну автентифікацію на основі ризиків

Якщо увімкнуто багатофакторну автентифікацію на основі ризиків, у разі підозрілих дій система перевіряє, чи користувач – це справжній власник облікового запису.

Удосконалення навичок роботи з Office
Ознайомтеся з навчальними матеріалами
Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×