Пароли

Доминирующая практика, особенно в небольших компаниях, — один пароль навсегда, причем достаточно легкий для запоминания. Не стоит объяснять, что такая практика порочна. И с увеличением количества пользователей сети шансы того, что один из них «засветит» свой пароль, увеличиваются. Да и простой пароль легко взломать атакой по словарю или перебором. Для этого и существуют программные методы запроса юзера на смену пароля, проверки на повторяемость и криптографическую сложность. С введением сложных, часто меняемых паролей возникает новая проблема: их начинают забывать или ставить один и тот же пароль во множестве различных мест, включая Интернет-ресурсы. Но кто может поручиться за намерения владельца ресурса или за сохранность этих данных вне компании? Что если сессия к такому удаленному ресурсу перехвачена злоумышленником с помощью атаки «человек в середине»?

Что если один из маршрутизаторов на пути к ресурсу взломан и используется для отзеркаливания проходящего через него трафика на хост с установленным сниффером? Практика ограничения доступа к внешним ресурсам распространена, но что можно сделать, если логины на внешних ресурсах необходимы для работы? Остается донести до каждого сотрудника через политику безопасности то, что внешние и внутренние пароли совпадать не должны. К сожалению, часто сами системные администраторы задают один и тот же пароль для всех серверов и/или сетевых устройств, что недопустимо. Встречаются случаи, когда пароль для входа на коммутаторы совпадал с паролем для их мониторинга SNMP-сообществом или же пароль для входа на мобильный хост совпадал с WPA-PSK-ключом для подсоединения к беспроводной сети. Последнее наиболее характерно при использовании Windows-настроек EAP-PEAP по умолчанию. Это безусловно удобно для работы, но с точки зрения сетевой безопасности таких вещей желательно избегать.