Где-то в другой реальности сидит себе безопасник, пьёт кофе без тревоги, и в системе у него пользователи не меняют пароли каждые 90 дней. Да и не каждые 60. И даже не 45. Просто потому что… не надо.
В этой прекрасной вселенной у него внедрена двухфакторка — не для галочки, а реально работает. Пользователь входит через VPN, получает пуш на телефон, подтверждает. А если его пароль кто-то где-то и выудил — доступа всё равно нет, второй фактор не обманешь. Там не нужен цирк с паролями вроде Qwe2024!, Qwe2024@, Qwe2024# и попытками вспомнить, на каком символе остановились в прошлый раз.
Но самое интересное в другом — в этой параллельной вселенной никто не требует от него, чтобы пароль был не короче 13 символов, содержал три заглавные, три спецсимвола, две руны и намёк на девичью фамилию бабушки. А потом ещё и менялся каждые 2 месяца, даже если у пользователя уже есть USB-ключ, токен, SMS, капча и подпись крови.
Звучит, как фантастика?
А теперь — возвращаемся обратно. В нашу вселенную, где ГОСТ есть ГОСТ, а приказ 239 (выдуманная цифра, если что :)) — это не просто цифры. Где даже если ты внедрил 2FA, всё равно обязан раз в 90 дней выдернуть ковёр из-под пользователей, сказав: «Ну что, пора снова менять пароль. Надеюсь, вы придумали 24‑символьную фразу без словарных слов?».
При этом никуда не деваются кейлоггеры, фишинг, токены на продажу в Telegram, и ни один из них не спрашивает: «Извините, а ваш пароль свежий?». Потому что атакующим всё равно — хоть ты его вчера сменил, если у них есть способ перехвата, они будут в системе, пока ты снова не дернешь рубильник.
И вот тут появляется вопрос — а может, что-то не так с логикой? Может, вместо того чтобы жонглировать паролями по расписанию, стоило бы сконцентрироваться на упреждении и реакции? Установить мониторинг входов, накатить двухфакторку везде, где можно, перестать использовать учётки «admin1/admin2», которые живут с 2013 года.
Но пока в этой вселенной побеждает методика: «смена — есть защита». И ничего, что пользователь всё равно пишет новый пароль на бумажке и клеит на монитор. Главное — формально всё правильно. Ведь безопасность у нас не для реальной устойчивости, а для прохождения проверок. И тут, как говорится, спорить бесполезно.
Так что остаётся только смотреть в сторону той параллельной реальности. Где смену пароля не отменили, а заменили — на комплексный подход. Где безопасность не мешает работе, а поддерживает её. Где безопасник не напоминает хрестоматийного вредителя, а работает в одной команде с IT. Ну и, конечно, где пользователи не боятся авторизоваться, потому что не боятся забыть, какой именно вариант Qaz@WSX#2024 у них сегодня.
Может, когда-нибудь и у нас так будет. А пока — идём менять пароли. Ведь прошло уже 90 дней.
Добавить комментарий