tv2 – актуалните новини

Subscribe Now

Как да създадем политика за сигурни пароли

Rado

Паролите често са най-пренебрегваната част от защитата. Всеки ги използва. Малцина ги взимат насериозно. Но един компрометиран акаунт може да отвори вратата към цялата Ви инфраструктура.

В тази статия ще използваме реални казуси, добри практики и материали от Atlant Security, които работят с български и международни компании по темата.

 

Защо Ви трябва политика за пароли?

📌 80% от пробивите започват с компрометирани пароли (според Verizon DBIR) 📌 Паролите се използват от всички, но рядко се управляват правилно 📌 Одити по ISO 27001, NIS2 и GDPR изискват документ и доказателства

 

Какво трябва да включва добрата политика?

✅ Минимална дължина- поне 12 символа
✅ Забрана на често използвани пароли (123456, admin, qwerty…)
✅ Комбинация от малки, големи букви, цифри и символи
✅ Забрана за използване на предишни пароли (history)
✅ Валидност- не по-кратка от 180 дни, освен при пробив
✅ Изискване за MFA (двуфакторна автентикация)
✅ Изискване за секретност (не се споделят, не се записват открито)

 

Как да я въведете успешно?

  1. Подгответе кратък вътрешен документ- ясно, без жаргон
  2. Включете примери какво е добра парола и какво не е
  3. Обучете служителите- не с лекции, а с реални сценарии
  4. Настройте технически системи: MFA, lockout след 5 опита, password expiry
  5. Преглеждайте политиката поне веднъж годишно

 

Технически инструменти, които помагат

🛠️ Have I Been Pwned API– за проверка дали парола е била изложена

🛠️ Microsoft Entra (Azure AD)– блокира слаби и изложени пароли

🛠️ Okta / JumpCloud– централизирано управление с password policies

🛠️ Keeper / Bitwarden / 1Password– мениджъри за съхранение и генериране на силни пароли

 

Грешки, които да избягвате

🚫 Задължение за честа смяна (на всеки 30 дни)- доказано вредно

🚫 Изискване за прекалено сложни пароли, които водят до записване

🚫 Пренебрегване на администраторските акаунти

🚫 Игнориране на личните устройства в BYOD среда

📌 Според Atlant Security: най-опасните пароли са тези, които „никой не мисли, че съществуват“- като admin:admin, user:1234, test:test

 

Какво да тествате в одит?

🔍 Дали има писмена и одобрена политика

🔍 Дали паролите отговарят на изискванията (проверка в AD, Linux)

🔍 Дали се ползват password managers

🔍 Дали има логове за failed logins, reset-и и промени

🔍 Дали е активирана MFA за поне критичните акаунти

 

Паролите няма да изчезнат утре. Затова трябва да ги управлявате днес. Добрата политика е ясна, приета и прилагана.

🚀 Започнете с одит на съществуващите практики. Поправете слабостите. Обяснете защо. И после- автоматизирайте, доколкото е възможно. Политиката е основа. Културата- защитата.

Подобни теми:

Кога се кредитира потребителският ми кредит? Измами с кредити: Как да се предпазим от измамници и да защитим парите си? Бъдещето на стейбълкойнитеБъдещето на стейбълкойните на финансовия пазар Стари коли за бракуване. Защо е време да се разделите със стария си автомобил CETIN и Yettel организираха ден на отворените врати за бъдещи инженери Любопитно за банкоматите и както трябва да знаем!