Na czym polega rotacja haseł i dlaczego jest potrzebna?

Pojęcie rotacji hasła odnosi się do zmiany / resetowania hasła. Ograniczenie długości czasu używania hasła zmniejsza ryzyko oraz redukuje skuteczność ataków i exploitów opartych na hasłach, poprzez skrócenie czasu, w którym skradzione hasło pozostaje ważne.

Częstotliwość rotacji powinna być różna w zależności od wieku hasła, jego używania i znaczenia dla bezpieczeństwa. Na przykład hasło do standardowego konta użytkownika będzie rotowane w odstępach 60-dniowych, co może być wymuszone poprzez wygaśnięcie hasła. Z drugiej strony konto superużytkownika (np. Root, administrator domeny itp.) i inne z wysokimi uprawnieniami powinny mieć hasła rotowane możliwie często, a dla kont najbardziej wrażliwych dla organizacji rotacja hasła może być realizowana po każdym jego użyciu. Procedura znana jako hasła jednorazowe lub (OTP one-time-passwords). W przypadku hasła skompromitowanego (np. gdy otrzymamy powiadomienie od strony trzeciej, że zabezpieczenia konta użytkownika zostały złamane), hasło powiązane z kontem, którego dotyczy problem, powinno zostać natychmiast zmienione.

Rotacja haseł powinna zostać zaimplementowana na każdym koncie, systemie, sprzęcie sieciowym i urządzeniu IoT, aplikacji, usłudze itp. Hasła nie powinny być ponownie używane lub powtarzane, powinny być unikatowe, losowo przydzielane według harmonogramu, po użyciu lub w odpowiedzi na konkretne zagrożenie lub lukę w zabezpieczeniach.

Wyzwania i zagrożenia ręcznej rotacji haseł

Chociaż rotacja haseł jest powszechnie akceptowaną najlepszą praktyką w zakresie zabezpieczeń, w przypadku ręcznego zarządzania hasłami, częste rotowanie haseł może w praktyce zwiększać ryzyko exploita. Jak to możliwe? W dzisiejszych czasach jedna osoba może wykorzystywać dziesiątki, a nawet setki osobistych haseł którymi trzeba zarządzać. W organizacjach liczba ta może wzrosnąć jeszcze bardziej. W najprostszych środowiskach użytkownik często rotuje poświadczenia przy pomocy arkusza kalkulacyjnego i ręcznego logowania się do odpowiednich kont i systemów. Natomiast nie jest to procedura skalowalna. Ponadto ręczne zarządzanie i rotacja niektórych typów uprzywilejowanych poświadczeń (tj. zakodowanych haseł i kluczy) najprawdopodobniej nie będzie możliwa.

Duża liczba poświadczeń do rotacji, pozostawiona manualnej ludzkiej pracy w praktyce oznacza, że najlepsze praktyki dotyczące haseł (takie jak długość hasła składająca się z 12 lub więcej znaków o składni bez konkretnego znaczenia, brak bazowania na słowniku oraz brak wcześniejszego użycia hasła przez dowolnego, innego użytkownika dla dowolnego, innego konta służbowego lub osobistego) są bardzo trudne do przestrzegania. Ponieważ liczba (stale rotujących) haseł do zapamiętania wzrasta, prawdopodobieństwo że pracownicy będą zapominać hasła rośnie, co potencjalnie prowadzi do blokowania im dostępu do systemów. Aby temu zapobiec, użytkownicy mają tendencję do wielokrotnego używania tych samych haseł dla wielu kont (zarówno roboczych, jak i osobistych), wybierania łatwych do odgadnięcia haseł lub uciekania się do zapisywania haseł na papierze lub w dokumentach elektronicznych, takich jak MS Word lub arkuszach kalkulacyjnych. Jeśli używane jest to samo hasło dla różnych kont to fakt, że hakerzy mogą korelować adresy e-mail, nazwy użytkowników i hasła z jednego zhakowanego konta do innych usług, staje się istotnym zagrożeniem. Na przykład użycie tego samego poświadczenia na koncie serwera, aplikacji, przełącznika i mediów społecznościowych oznacza, że jedno zhakowane konto zagraża wszystkim pozostałym.

Poprawa bezpieczeństwa haseł poprzez automatyzację

Większość ludzi w przypadku ręcznej rotacji haseł nie jest w stanie stosować się do odpowiednich praktyk, natomiast narzędzia do zarządzania hasłami mogą zautomatyzować ten proces. Aplikacje typu Password Managers, pozwalają wymuszać najlepsze praktyki w zakresie generowania, rotacji i zabezpieczania haseł (np. za pomocą szyfrowania). Aplikacje typu Password Managers mogą być aplikacjami chmurowymi lub przeglądarkowymi bądź mogą być instalowane na stacji roboczej. Używając głównego hasła / klucza i wypełnienia formularza, użytkownik może przy pomocy Password Managera automatycznie wyodrębnić żądane hasło z bazy danych i uwierzytelnić się w danym systemie lub oprogramowaniu.

Podczas gdy automatyzacja zarządzania hasłami zyskuje na popularności, duża część organizacji wciąż opiera się w pewnym stopniu na ręcznych procedurach zarządzania hasłami. W związku z tym w praktyce hasła są niewłaściwie rotowane, co powoduje, że organizacje są podatne na exploity oparte na poświadczeniach.

Personal Password Managers oraz Enterprise/Privileged Password Managers

Osobiste narzędzia do administracji hasłami umożliwiają zarządzanie danymi logowania dla standardowych użytkowników. Te osobiste aplikacje do zarządzania hasłami pozwalają generować losowe hasła, do których dostęp jest zabezpieczony jednym głównym poświadczeniem, które użytkownik musi zapamiętać. Dodatkowo, mogą też automatycznie zalogować użytkownika do żądanych zasobów.

Enterprise Password Managers/Privileged Password Managers to wyspecjalizowany podzbiór menedżerów haseł służących do zarządzania uprzywilejowanymi poświadczeniami dla kont uprzywilejowanych w przedsiębiorstwach (root, administrator itp.), kluczami SSH oraz osadzonymi / wbudowanymi poświadczeniami, w różnego rodzaju aplikacjach. Ten ostatni przypadek użycia poszerza spektrum bezpieczeństwa. Wynika to z tego, że wiele urządzeń IT takich jak routery, zapory ogniowe, IoT itp., jest często dostarczane z osadzonymi i / lub domyślnymi poświadczeniami uwierzytelniającymi. Takimi poświadczeniami należy zarządzać i regularnie je rotować, w przeciwnym razie mogą one udostępnić osobom atakującym łatwą do wykorzystania tylną furtkę dostępu do systemów o krytycznym znaczeniu.

Wykorzystanie oprogramowania do zarządzania hasłami uprzywilejowanymi może zapewnić regularną rotację wszystkich uprzywilejowanych poświadczeń organizacji (których mogą być tysiące lub nawet miliony) w odstępach czasu określonych przez polityki. Polityki te są tworzone na podstawie typu danych, istotności zabezpieczeń i tym podobnych atrybutów. Rozwiązania do zarządzania hasłami uprzywilejowanymi umożliwiają uniknięcia przestojów wynikających z podawania niepoprawnych poświadczeń poprzez realizację synchronizacji zmian haseł z usługą katalogową, ze zmianami w systemach / urządzeniach / aplikacjach / usługach, w których są używane hasła.

Jeśli chcielibyście Państwo dowiedzieć się jak zautomatyzować rotację oraz poznać najlepsze praktyki dotyczące uprzywilejowanych poświadczeń, zachęcamy do kontaktu.