Контроль за паролями в СРД может быть важен, если ваша организация хочет сделать пароли на самом деле секретными. Эти меры могут варьироваться от действий, направленных на периодическое изменение пользователями своих паролей (просьбы или приказы), до активных попыток вскрыть пароли пользователей с целью информирования их о том, как это легко сделать. Другая часть мер контроля за паролями касается вопроса о том, кто распределяет пароли - могут ли пользователи сообщать свои пароли другим пользователям?

Раздел 2.3 обсуждает некоторые вопросы, на которые нужно ответить для организации правильного контроля за паролями. Независимо от ПРД требуется установить строгие меры по контролю за паролями во избежание раскрытия паролей. Важен выбор первых паролей для регистрационных имен. В некоторых случаях пользователи могут никогда не войти в АС для активизации своего регистрационного имени; поэтому первый пароль не должен быть легко угадываемым. Никогда не следует назначать пароли по умолчанию регистрационным именам: всегда назначайте новые пароль для каждого пользователя. Если есть списки паролей на бумаге, они должны держаться в защищенном месте, а еще лучше их вообще не записывать.

4.3.1 Выбор пароля

Наверное, самой уязвимой частью любой АС является пароль регистрационного имени. Любая АС, независимо от того, насколько она защищена от атак из сети, из модемов, троянских коней, и т.д., может быть полностью использована злоумышленником, если он или она получат доступ к ней с помощью плохого пароля. Важно определить хороший набор правил для выбора пароля, и применять эти правила ко всем пользователям. Если возможно, программное обеспечение, которое генерирует пароли пользователям, должно быть модифицировано для реализации ваших правил.

Ниже приводится простой набор рекомендаций для выбора пароля:

• НЕ используйте ваше регистрационное имя в каком бы то ни было виде (как есть, обращенное, заглавными буквами, удвоенное, и т.д);
• Не используйте ваше имя, фамилию или отчество в каком бы то ни было виде;
• НЕ используйте имена вашего супруга (супруги) или ваших детей;
• НЕ используйте другую информацию о вас, которую легко можно получить. Она включает номера телефонов, номера лицевых счетов, номер вашего автомобиля, название улицы, на которой вы живете, и т.д.;
• НЕ используйте пароль из одних цифр или из одних букв;
• НЕ используйте слово, которое можно найти в словарях;
• НЕ используйте пароль короче шести символов;
• используйте пароль с буквами из разных регистров;
• используйте пароль с небуквенными символами (цифрами или знаками пунктуации)
• используйте пароль, который легко запомнить, чтобы у вас не возникало желания записать его
• используйте пароль, который можно быстро набрать на клавиатуре, не смотря на нее.

Методы выбора пароля, соответствующие этим рекомендациям, включают :

• выберите строку или две строки из песни или поэмы и используйте первую букву каждого слова;
• замените в слове из семи-восьми букв одну согласную и одну или две гласных. Это даст вам слово-абракадабру, которое обычно произносимо и поэтому легко запоминается;
• выберите два коротких слова и соедините их вместе со знаком пунктуации между ними.

Пользователям также следует периодически напоминать, что им надо изменить пароли, обычно раз в три-шесть месяцев. Это поможет быть уверенным в том, что злоумышленник, раскрывший пароль, впоследствии потеряет доступ к АС, а также любой украденный список паролей станет недействительным. Многие АС позволяют системному администратору заставлять пользователей менять пароли после определенного периода времени; эти программы должны использоваться, если они есть в АС (например, утилита SYSCON в Netware 3.Х).

Некоторые АС содержат программы, которые заставляют регулярно пользователей регулярно изменять пароли. Многие из этих АС также имеют генераторы паролей, которые обеспечивают пользователя набором паролей, из которого он может выбирать. Пользователю этих АС не разрешается самому задавать пароль. Существуют аргументы и за , и против таких АС. С одной стороны, используя сгенерированные пароли, пользователи защищены от выбора плохих паролей. С другой стороны, если только генератор не делает легкие для запоминания пароли, пользователи начнут записывать их для того, чтобы запомнить.

4.3.2 Процедуры изменения паролей

То, как производится изменение паролей, очень важно для сохранения паролей в тайне. В идеале, пользователи должны оперативно изменять свои пароли. (Отметим, что программы изменения паролей - излюбленная мишень злоумышленников. Смотрите раздел 4.4 об управлении конфигурацией для более подробной информации).

Тем не менее, существуют исключительные ситуации, в которых нужно поступать очень осторожно. Пользователи могут забыть пароли и потерять доступ к АС. Стандартной процедурой является назначение пользователю нового пароля. Следует проверять, что запросил изменение пароля и получил его настоящий пользователь. Распространенной среди злоумышленников уловкой является звонок или посылка сообщения системному администратору с запросом нового пароля. Нужно по другому каналу связаться с пользователем и проверить, что это действительно он, перед тем, как назначать пароль. В некоторых организациях пользователям требуется лично прийти к администратору.

Также могут возникнуть ситуации, когда требуется изменить сразу много паролей. Если АС скомпрометирована злоумышленником, то он может украсть файл паролей из АС и стереть его. В таком случае единственным решением должна быть замена всех паролей в АС. Ваша организация должна иметь процедуры того, как это сделать быстро и эффективно. Что конкретно вы будете делать, зависит от ситуации. Если это атака, имевшая целью разрушение АС, то можно принудительно удалить все регистрационные имена и назначить пользователям новые пароли до того, как они смогут войти в АС. В некоторых организациях пользователям посылается сообщение о том, что им нужно изменить свой пароль в течение определенного периода времени. Если пароль не меняется по истечении указанного периода времени, то регистрационное имя блокируется.

Пользователи должны быть извещены о том, какова стандартная процедура, применяемая при замене паролей, в случае нарушения защиты. Один хорошо известный инцидент, о котором сообщила CERT, заключался в том, что пользователям посылались сообщения, якобы от местного системного администратора, требующие их заменить свой пароль на новый, указанный в этом сообщении. На самом деле эти сообщения были посланы не администратором, а злоумышленником, пытающимся узнать регистрационные имена. Поэтому пользователей следует предупредить, чтобы они немедленно сообщали о всех подозрительных сообщениях, аналогичных этому, администрации организации.