27.02.2008 Продукты, БезопасностьУправление паролями — одна из насущных проблем современных ИТ-структур. Ситуация вполне понятная: пользователь имеет дело с несколькими приложениями или службами, у каждого из которых есть собственная система идентификации с использованием паролей. Самый простой, но далеко не самый надежный вариант — использовать один и тот же пароль. Недостаток тут очевиден: компрометация пароля (например, его утеря или кража) откроет посторонним лицам доступ сразу ко всем ресурсам. Так или иначе, но известный принцип безопасности гласит: пароли необходимо периодически менять. Более того, многие системы автоматически реализуют этот подход, ограничивая срок действия пароля. Но как поменять пароли во всех приложениях? Для этого часто используют системы синхронизации паролей, которые изменяют пароли для всех приложений на одно и то же значение. Однако нетрудно видеть явные недостатки такого подхода. В частности, в таких системах безопасность понижается до уровня «наименьшего общего знаменателя». Например, если в процесс синхронизации включено приложение, пароль которого не длиннее четырех символов, это означает, что все приложения будут использовать пароль длиной максимум четыре символа. Возможна также несовместимость политик паролей: синхронизация не будет работать в том случае, если «синхронизируются» приложения с различными политиками сложности паролей. Отметим и риск, обусловленный тем, что пользователь знает свой пароль, так как система синхронизации предоставляет ему ...
читать далее.
