Запаролированная безопасность
Много ли паролей вы удерживаете в своей памяти? Пароль для e-mail, для мобильного телефона, для компьютера на работе и дома, для отключения сигнализации... Так сколько же их???
Для Кейт Прайор каждое рабочее утро начинается одинаково: ей необходимо ввести восемь компьютерных паролей. Каждый из них должен содержать не менее восьми символов. Каждые три месяца пароли подлежат обязательной смене.
Как же 28-летней судебной наблюдательнице удается помнить все пароли? Ответ прост - они все написаны на голубом стикере, приклеенном к монитору. Не думайте, что Г-жа Прайор не понимает, что ее безалаберность подрывает всю идею безопасности, которую призваны реализовывать пароли. "Конечно, сотрудники из отдела информационных технологий орут на меня, но я готова выдержать пять минут монолога на повышенных тонах, чем держать все это в своей голове", - говорит Кейт. Альтернатива терпеть орущего умника, молящегося на компьютер по утрам и читающему в дисковод сказки на ночь, тоже не из приятных: забыть чертов пароль, совершить три неправильных попытки его угадать (Что же я загадала - имя любовницы босса? А может, название фирмы, где работает тот симпатичный курьер с накаченными руками? Хотя нет, это было мое прозвище в начальной школе, да?) и, наконец, протяжно закричать о помощи.
Эксперты по компьютерной безопасности еще с прошлого века настойчиво советуют пользователям ПК создавать сложные, необычные пароли и регулярно менять их во избежание хакерских взломов. Теперь эти настойчивые, но все же просто рекомендации, получили весьма серьезную поддержку - Акт О Корпоративной Реформе (Sarbanes-Oxley corporate-reform act), призванный защитить миллионы американских работников от финансовых махинаций. Акт был "взят на вооружение" в 2002 году после громких скандалов вокруг деятельности Enron Corp. и других крупных компаний. Принятие Акта вылилось в следующее: был создан специальный орган, отвечающий за проверку аудиторских фирм, и ужесточены меры наказания за мошенничество. Теперь аудиторские компании должны документально подтверждать принятые "меры внутреннего контроля" для предотвращения обмана. И не важно, что сам по себе Акт не требует изменения паролей: пресловутые "меры внутреннего контроля" вынуждают аудиторов и консультантов истошно требовать от подчиненных выдумывания сложных паролей с их частой сменой.
Но слепое стремление создать "непробиваемые" компьютерные сети упираются в неожиданное, на первый взгляд, препятствие - ресурсы человеческого организма. Согласно данным исследования, проведенного компанией Symantec Corp., примерно три четверти пользователей запоминают свои пароли. Тем не менее, сталкиваясь с многочисленными паролями, пользователи вносят в закодированный набор символов лишь незначительные изменения, например, добавляя цифру "1" к первоначальному паролю. Такая тактика, говорят эксперты, позволяет взломать новый пароль так же легко, как прошлый.
Другая группа пользователей предпочитает не прислушиваться к умным дядям из отдела ИТ и записывает пароли (вы еще не забыли г-жу Прайор?). Исследование Symantec Corp. показало, что до введения усиленных мер безопасности 16% пользователей записывали пароли в блокноты, КПК или на стикеры.
Знакомьтесь - Петри Дарби, 31-летний менеджер по маркетингу одной из юридических фирм в г.Хьюстон. В течение довольно долгого времени он записывал свои пароли на стикеры. Когда кипа приклеенных бумажек стала напоминать по своему объему Большой Энциклопедический Словарь, Дарби переписал 25 из 30 используемых в работе паролей на маленький листик и смело положил его в портмоне. Количество новых паролей тем временем все росло. В один прекрасный день Петри понял, что ни одну запись на листике понять невозможно. "Я чуть с ума не сошел от досады, - вспоминает Дарби. - в какой-то момент мне даже показалось, что единственный выход - это татуировки".
История Дарби и многих других пользователей привела к тому, что чересчур частая смена паролей, число которых может достигать действительно немалых размеров, порождает еще более опасную угрозу компьютерной безопасности. Как заявил Аллен Гвинн (Allen Gwinn), являющийся главным технологическим директором в Cox School of Business при Southern Methodist University, "не имеет никакого смысла заставлять людей менять уникальный пароль каждые полгода. Вы создаете идеальные условия для возникновения катастрофы. Намного лучше использовать пароль двухгодичной давности, который вы действительно запомнили, чем только что поменянный набор символов, записанный на открытом месте". Между прочим, свои собственные пароли Гвинн хранит в органайзере сотового телефона. Доступ к файлу, содержащему пароли, хорошо защищен программой, которую он сам написал.
Не все компании требуют периодической смены паролей. Среди них - фирмы, профессионально занимающиеся компьютерной безопасностью. Недавно созданная корпорация Fortinet (г.Саннивейл, шт. Калифорния) производит устройства, защищающие корпоративные компьютерные сети от вирусов и спама. Сотрудники корпорации используют один "сложный" пароль, состоящий по меньшей мере из 6 символов, один из которых не должен быть ни буквой, ни цифрой. Команда внутренней безопасности корпорации регулярно проводит пробные взломы паролей, и те сотрудники, чья фантазия не прошла проверку обычными хакерскими программами, вынуждены придумывать более изощренные комбинации символов.
Начальник производственной службы Филип Кван (Philip Kwan) уверен, что подобных экспериментов вполне достаточно для безопасности. Перед тем, как поступить на работу в Fortinet, Кван в течение пятнадцати лет занимался внутренней безопасностью в трех организациях из "Силиконовой Долины". Именно там он убедился в превосходстве человеческой природы над строгими правилами компьютерной безопасности. Случалось, что приходя по вызову одного из сотрудников, он не находил отлучившегося владельца компьютера. Как правило, Филип просто приподнимал клавиатуру и - вуаля! - нередко находил записанный на листочек пароль. "Куда они только не прятали свои хитроумные комбинации - я все равно находил их, не сходя с места", - вспоминает Кван.
Напомним, что Акт Sarbanes-Oxley не требует обязательной смены паролей. Не обязывают выполнять этот закон ни положения Комитета по безопасности и обмена информацией (Securities and Exchange Commission), ни своего рода указания некоммерческой организации Public Company Accounting Oversight Board, созданной для контроля аудиторских фирм. И все же смена паролей стала обычным явлением в управленческой практике, отражающим стремление следовать букве закона.
Одним из наиболее активных сторонников Акта является некоммерческая организация IT Governance Institute (г.Роллинг-Мэдоуз, шт.Иллинойс), которая занимается сведением технологических управленцев крупных организаций с представителями основных аудиторских компаний. Следуя положениям закона, руководство организации внесло регулярную смену паролей в список "контрольных задач" по предотвращению финансовых махинаций. Примеру IT Governance Institute последовали и другие: компания Deloitte & Touche USA LLP заставляет сотрудников проводить смену пароля раз в три месяца и чаще, при условии автоматизации процесса. По словам руководителя службы внутренней безопасности Теда ДеЗабала (Ted DeZabala), руководство компании давно хотело ввести регулярную смену паролей, и принятие Акта сыграло решающую роль. Первые отчеты о результатах принятия закона ожидаются в марте. Но уже сейчас международный президент IT Governance Institute Мариос Дамианидес (Marios Damianides) уверен в успешности Акта. "Во всех посещенных мной организациях я увидел серьезные успехи в применении закона на практике", - говорит он.
Оптимизм Дамианидеса, однако, не разделяет главный директор службы информационной безопасности SunGard Availability Services Карл Хербергер (Carl Herberger). Он уверен, что практически любой пароль может быть взломан за 45-60 дней, и смену паролей необходимо проводить по меньшей мере ежемесячно.
Не удивительно, что кое-кто из числа пользователей ПК, мягко говоря, не в восторге от нововведений. Например, исполнительный директор консалтинговой фирмы LodeStar Universal Алекс Рэмси (Alex Ramsey) считает, что запомнить такое большое число паролей, с которым приходится сталкиваться рядовому сотруднику аудиторской или юридической фирмы, под силу разве что резидентам горы Олимп. Тем более что в арсенале самой Рэмси аж 75 паролей! Осмотревшись по сторонам на предмет наличия злобных сотрудников отдела ИТ, Алекс распечатала копию всех паролей и спрятала под клавиатурой. Примечательно, что в верхней части распечатки жирным шрифтом набрано слово: "ПАРОЛИ".
