10 признаков того, что ваша парольная политика устарела
Парольная политика — один из тех документов, которые в большинстве компаний создаются один раз, кладутся в папку «Регламенты» и больше никогда не открываются. Между тем требования к паролям, которые казались достаточными пять лет назад, сегодня не защищают ни от чего.
Проверьте свою политику по десяти признакам. Если хотя бы три из них описывают вашу ситуацию — пора её обновить.
1. Минимальная длина пароля — восемь символов
Восемь символов были приемлемым стандартом в 2010-х годах. Сегодня восьмисимвольный пароль перебирается за секунды на обычном потребительском видеокарточном стенде.
Актуальный минимум — 12 символов для обычных пользователей и 16 для учётных записей с расширенными правами. Для сервисных аккаунтов и API-ключей — от 20 символов и выше.
Если в вашем регламенте до сих пор написано «не менее 8 символов» — этот пункт нужно менять в первую очередь.
2. Пароли меняются по расписанию раз в 90 дней
Принудительная смена пароля каждые три месяца — требование, которое появилось в регламентах ещё в эпоху dial-up интернета. Проблема в том, что оно не повышает безопасность, а снижает её.
Когда людей заставляют менять пароль по расписанию, они действуют предсказуемо: добавляют цифру в конец, меняют «Весна2025» на «Лето2025», чередуют два-три варианта по кругу. Исследования Microsoft и NIST показали, что такие пароли предсказуемее, чем те, что люди выбирают самостоятельно без давления.
Современный подход: менять пароль немедленно при подозрении на компрометацию, при обнаружении пароля в публичных утечках и при увольнении сотрудника. Без расписания, но с мониторингом.
3. Сотрудники хранят пароли там, где удобно
Если в компании нет корпоративного менеджера паролей, люди хранят их там, где получается. Блокнот на рабочем столе. Заметки на телефоне. Excel-файл «Пароли» на рабочем столе. Telegram-избранное. Стикер на мониторе.
Это не злой умысел — это естественная реакция на требование помнить десятки уникальных сложных паролей без каких-либо инструментов. Если политика требует сложных паролей, но не даёт инструмент для их хранения, она перекладывает невыполнимую задачу на сотрудника и гарантированно проигрывает.
Признак устаревшей политики — требования к паролям есть, инструмента для их соблюдения нет.
4. Один пароль используется в нескольких системах
«Не используйте одинаковые пароли» — это пункт есть в большинстве регламентов. Но без менеджера паролей он невыполним: человек не способен помнить 40 уникальных сложных паролей.
Результат предсказуем: сотрудники используют один базовый пароль с небольшими вариациями. «Компания2024!», «Компания2024@», «Компания_CRM». При утечке одного пароля злоумышленник получает доступ ко всем системам, где использовалась та же база.
По данным отчётов о взломах, повторное использование паролей — второй по частоте вектор атаки после фишинга.
5. Нет обязательной двухфакторной аутентификации
Даже самый сложный пароль может быть скомпрометирован — через фишинг, утечку базы данных стороннего сервиса или перехват трафика. Двухфакторная аутентификация делает скомпрометированный пароль бесполезным без второго фактора.
Если 2FA в вашей организации «рекомендуется» или «желательна», но не обязательна — это дыра в политике. Критически важные системы должны требовать второй фактор в обязательном порядке, без возможности его отключить.
Особенно актуально для удалённого доступа, административных учётных записей и систем с персональными данными.
6. Права доступа выдаются индивидуально и вручную
Когда в компанию приходит новый сотрудник, IT-отдел вручную перебирает системы и выдаёт доступ к каждой. Когда кто-то уходит — вручную же всё отзывает. А когда кто-то переходит из одного отдела в другой — часть старых доступов остаётся активной, потому что про них забыли.
Это не просто неудобно. Это системная проблема, которая неизбежно приводит к двум сценариям: сотрудник не имеет нужного доступа и не может работать, или имеет лишний доступ и это риск безопасности.
Признак устаревшей политики — нет ролевой модели доступа, всё делается вручную.
7. Доступы уволенных сотрудников закрываются не сразу
Если между датой увольнения и полным отзывом всех доступов проходит больше нескольких часов — политика не справляется.
По статистике, в среднем доступы уволенного сотрудника остаются активными от трёх до пяти дней. За это время человек с недобрыми намерениями может скачать базу клиентов, удалить критичные данные или передать учётные данные третьим лицам.
Быстрый отзыв доступов возможен только при централизованном управлении паролями с ролевой моделью. Без этого инструмента выполнить требование «мгновенно» физически невозможно.
8. Никто не знает, к каким системам имеет доступ конкретный сотрудник
Задайте себе вопрос: если прямо сейчас уволится ключевой разработчик или системный администратор, вы знаете, ко всем ли системам вы закрыли доступ?
В большинстве компаний ответ честный — нет. Доступы выдавались в разное время разными людьми, часть систем вообще не входит в корпоративный каталог, а пароли от некоторых сервисов знал только сам сотрудник.
Отсутствие реестра доступов — один из самых серьёзных признаков устаревшего подхода к парольной политике.
9. Нет журнала: кто и когда заходил в систему
Когда происходит инцидент, первый вопрос службы безопасности — кто имел доступ и когда им воспользовался. Если ответа на этот вопрос нет, расследование упирается в тупик.
Современная парольная политика предполагает фиксацию всех значимых событий: кто авторизовался, кто открыл или скопировал пароль, кто изменил права доступа. Без этого соответствие требованиям ФСТЭК, ФСБ и 152-ФЗ выполняется только формально.
Если у вас нет журнала событий по доступам — это не только проблема безопасности, но и проблема с регулятором.
10. Политика существует в виде документа, но не соблюдается на практике
Это самый распространённый и самый опасный признак. Регламент написан, в нём прописаны все правильные требования, но на практике пять человек знают пароль от рабочего сервера, новому сотруднику «пока что» дали доступ администратора «чтобы не заморачиваться», а 2FA отключена, потому что «неудобно».
Политика, которую невозможно соблюдать без специальных инструментов, будет нарушаться. Это закон. Хорошая парольная политика — та, которую люди соблюдают не потому что боятся проверки, а потому что инструменты делают правильное поведение удобным, а неправильное — невозможным или неудобным.
Как обновить парольную политику
Обновление парольной политики — это не переписать документ. Это выстроить инфраструктуру, которая делает исполнение политики автоматическим.
Минимальный набор шагов:
- Поднять минимальную длину пароля до 12 символов и обеспечить сотрудников инструментом для хранения уникальных паролей к каждому сервису.
- Внедрить обязательную 2FA для критически важных систем и учётных записей с расширенными правами.
- Перейти от ручного управления доступами к ролевой модели: группы пользователей, папки с разграниченными правами, автоматический отзыв при увольнении.
- Настроить мониторинг компрометации — автоматическую проверку паролей по базам публичных утечек.
- Включить журналирование всех значимых событий с возможностью экспорта для аудита.
- Отказаться от принудительной смены по расписанию в пользу смены по факту компрометации.
Большинство из этих задач решается через корпоративный менеджер паролей с нормальной ролевой моделью. Не нужно писать сложные скрипты или закупать дорогостоящие системы — достаточно правильно выбрать и настроить инструмент.
Итог
Если из десяти признаков вы нашли у себя три и больше — парольная политика требует обновления. Если нашли шесть и больше — обновления требует не только политика, но и инфраструктура управления доступами в целом.
Хорошая новость: большинство описанных проблем закрывается корпоративным менеджером паролей с ролевой моделью за несколько дней внедрения. Это не полугодовой проект и не многомиллионный бюджет.
Попробуйте BearPass бесплатно — до 5 пользователей бессрочно, весь функционал без ограничений.
