Повторное использование паролей - это корпоративный риск
Как утечки данных из сторонних сервисов превращаются в угрозу для корпоративных аккаунтов.
В последние несколько лет крупные утечки баз данных с логинами и паролями стали регулярным явлением. Взломы крупных сервисов приводят к тому, что в открытый доступ попадают миллионы комбинаций почта - пароль. Казалось бы, если взломали сторонний сервис - это не проблема компании.
Проблема в другом. Люди используют одни и те же пароли на разных сайтах. Сотрудник зарегистрировался на каком-то интернет-форуме с корпоративной почтой, использовал тот же пароль, что и для рабочего аккаунта - и теперь этот пароль есть у всех, кто скачал базу утечки.
Атаку, при которой украденные учётные данные с одного сервиса применяются против другого, называют credential stuffing. Она не требует взлома корпоративной системы напрямую. Нужно только найти подходящие пары из утёкших баз.
Почему это управленческая задача
Попросить людей "не использовать одинаковые пароли" - это не решение. Люди не запоминают десятки уникальных паролей. Они используют те, которые помнят.
Это организационная задача: создать условия, при которых правильное поведение - уникальные сложные пароли для каждого сервиса - физически возможно и не требует геройских усилий от сотрудника. Это значит предоставить инструменты и ввести технические ограничения.
Два инструмента, которые работают
Первый - менеджеры паролей. Если компания принимает решение внедрить корпоративный менеджер паролей, сотрудникам больше не нужно помнить уникальные пароли - только один мастер-пароль. Менеджер генерирует и хранит сложные уникальные пароли для каждого сервиса. Это снимает психологический барьер и делает правильное поведение удобным.
Второй - двухфакторная аутентификация. Даже если пароль скомпрометирован, вход в систему без второго фактора невозможен. Для корпоративных систем, особенно тех, которые доступны из интернета, это должно быть стандартом, а не опцией.
Что конкретно стоит сделать
Проинвентаризируйте, какие корпоративные системы доступны из интернета - и есть ли на них двухфакторная аутентификация. Корпоративная почта, VPN, системы удалённого доступа, облачные сервисы - это минимальный список.
Проверьте, есть ли у компании политика паролей и выполняется ли она технически - то есть система требует сложный пароль, а не просто рекомендует.
Оцените целесообразность корпоративного менеджера паролей. Для команды от 15-20 человек это уже оправданно.
Когда происходят крупные публичные утечки - проверяйте, нет ли в них корпоративных адресов. Существуют сервисы, которые позволяют это сделать без раскрытия самих паролей.
Реальная угроза
Credential stuffing - это не теоретическая угроза. Автоматизированные инструменты позволяют проверить миллионы пар за короткое время. Корпоративная почта, которая совпадает с логином в утёкшей базе, становится мишенью без каких-либо целенаправленных действий злоумышленника именно против вашей компании.
Защита от этого не требует сложных технических решений. Она требует организационного решения - и ресурсов на его реализацию.