«Это не про силу пароля, а про конфликт между требованиями регулятора и реальными людьми. Цикл ‘сменить пароль’ превращается в ‘обмануть систему’, потому что удобство важнее безопасности, когда риски неочевидны. Мы боремся с симптомами, забывая о болезни — плохой криптографии на стороне сервиса.»
Принудительный цикл и психология усталости
Почти все видели это окно: «Пора сменить пароль. Он должен содержать 8 символов, заглавную букву, цифру и специальный знак». По сути, вас просят запомнить новую случайную комбинацию на ровном месте. Мозг сопротивляется — ему нужно логичное запоминание, а не набор символов. Если пароль, это ключ от дома, а регулятор заставляет менять замок каждый квартал, не удивляйтесь, что под ковриком появится запасной ключ.
Требование ФСТЭК и 152-ФЗ о периодической смене паролей, это попытка сократить «окно уязвимости». Допустим, пароль утек, но злоумышленник ещё не использовал его. Смена через 90 дней должна этот доступ обрубить. На бумаге логично. На практике вы создаёте не новый, сложный пароль, а следующий в последовательности: Password1, Password2, Password3. Потому что главная задача — не повысить безопасность, а пройти процедуру с минимальными затратами сил.
Принудительная ротация работает только в одном случае: если каждый новый пароль генерируется системой и выдаётся пользователю в надёжном канале, а не придумывается им на месте. Но так почти никогда не делают, это дорого и неудобно для службы поддержки.
Чем плох пароль «Password123» в эпоху утечек?
Главная угроза сегодня — не подбор пароля методом грубой силы, а атаки по словарю на основе слитых баз данных. Когда вы меняете Winter2023! на Spring2024!, вы лишь меняете сезон и год. Такие шаблоны давно встроены в инструменты для взлома. Если ваша компания попала в утечку, и в базе был пароль CompanyName2022, то перебор CompanyName2023, CompanyName2024 займёт секунды.
Периодическая смена лишь создаёт иллюзию обновления. На деле вы предоставляете злоумышленнику набор связанных ключей. Узнав один, он с высокой вероятностью предскажет следующий. Особенно если в организации используется единый шаблон для генерации, о котором догадываются сотрудники.
Что говорят современные стандарты?
Агентство национальной безопасности США ещё в 2019 году, а позже и NIST в своих рекомендациях, прямо указали: принудительная периодическая смена паролей без оснований приносит больше вреда, чем пользы. Она приводит к предсказуемым последовательностям, записи паролей на бумажках и ослаблению общей культуры безопасности.
Однако в российской регуляторике ФСТЭК требование о периодической смене остаётся. Важно понимать контекст: оно является частью комплексной защиты. Отменить его «по щелчку» нельзя — нужна замена на другие, более эффективные меры. И здесь возникает главная ловушка для компаний.
Ловушка «галочки»: формальное исполнение вместо реальной безопасности
Многие российские компании подходят к требованиям 152-ФЗ и ФСТЭК формально. Цель — не сделать систему безопаснее, а получить акт проверки. Настраивается принудительная смена пароля в Active Directory раз в квартал, сотрудникам отправляется уведомление — требование считается выполненным.
Но никто не анализирует, насколько *сильнее* стал новый пароль. Система контроля может требовать наличие цифры, и сотрудник просто меняет Parol на Parol1. Уязвимость остаётся, но по документам всё чисто. Это худший сценарий: ресурсы потрачены, угрозы не устранены, а у сотрудников формируется стойкое убеждение, что «безопасность, это просто бюрократия».
Альтернативы, которые работают
Бороться нужно не с симптомом, а с причинами. Если сотрудники создают слабые пароли, система должна их отвергать на этапе создания. Вот что эффективнее принудительной ротации:
- Проверка на утечки в реальном времени. При смене пароля система сверяет его хэш с базой данных известных слитых паролей. Если совпадение найдено — пароль не принимается. Это убивает сразу двух зайцев:
Password123и все его вариации из публичных утечек будут заблокированы. - Многофакторная атаhentication (MFA) как обязательная база. Пароль, даже не самый сложный, становится лишь одним из факторов. Второй фактор (TOTP-токен, SMS, аппаратный ключ) радикально повышает порог взлома. ФСТЭК прямо рекомендует MFA для доступа к информационным системам персональных данных.
- Отказ от сложных синтаксических правил в пользу длины. Парольная фраза из 4-5 случайных слов (например,
КорзинаСолнечныйМостГравитация) запоминается легче, чемP@$$w0rd!, и при этом криптостойкость выше. Современные стандарты смещают акцент с «специальных символов» на минимальную длину (12+ символов) и проверку по словарям утечек. - Применение менеджеров паролей. Корпоративный менеджер паролей генерирует, хранит и автоматически подставляет уникальные сложные пароли для каждого сервиса. Пользователю нужно запомнить только один мастер-пароль. Это снимает когнитивную нагрузку и устраняет повторное использование паролей.
Как адаптировать российские требования под современный подход
Полностью игнорировать требование о смене паролей в российском контексте нельзя, это грозит нарушениями при проверках. Но можно выполнить его так, чтобы оно перестало быть проблемой:
- Обосновать отказ от частой ротации. Во внутренних документах (Политика информационной безопасности) зафиксировать, что при использовании MFA и/или менеджера паролей с генерацией уникальных сложных паролей периодичность смены мастер-пароля или основного фактора увеличивается (например, до 1 года). Это должно быть подкреплено оценкой рисков.
- Заменить механическую ротацию контролем качества. Вместо требования «сменить через 90 дней» внедрить правило: «пароль должен быть изменён, если система обнаружит его в базе утечек, или по результатам внутреннего аудита». Это превращает смену из плановой в событийную и осмысленную.
- Сместить фокус проверок. При внутренних аудитах и подготовке к проверкам ФСТЭК акцент должен быть не на факте смены пароля, а на доказательствах работы MFA, отчётах менеджера паролей и анализе инцидентов.
Культура, а не принуждение
Конечная цель — не заставить людей менять Password123 на Password124, а сделать так, чтобы пароль Password123 невозможно было даже установить. А если и установить, то без второго фактора он никуда не откроет. Это вопрос архитектуры и выбора технологий.
Современная безопасность строится на принципе «сделать правильное действие самым простым». Менеджер паролей проще, чем запоминание дюжины ключей. Push-уведомление для подтверждения входа проще, чем ввод одноразового кода из SMS. Когда безопасность становится удобной, необходимость в её обходе отпадает сама собой.
Требование о смене пароля каждые 90 дней — реликт эпохи, когда единственной угрозой считался брутфорс. Сегодня угрозы иные, и защита должна быть точечной. Лучше один раз внедрить MFA и проверку на утечки, чем десять лет бороться с человеческой природой, которая всегда выберет путь наименьшего сопротивления.