Политика паролей
Что такое Политика паролей?
Политика паролейДокументированный набор правил создания, хранения, смены и проверки пользовательских паролей для баланса безопасности и удобства.
Политика паролей определяет требования к выбираемым пользователями секретам: минимальная длина, допустимые символы, сверка со списками скомпрометированных паролей, сроки действия и пороги блокировки. Современные рекомендации NIST SP 800-63B (редакция 3 и проект редакции 4) отказались от обязательной периодической смены и сложных правил состава, поскольку эмпирически они приводят к предсказуемым паролям. Текущая базовая планка — минимум 8 символов (15+ для привилегированных учётных записей), сверка со списками вроде Have I Been Pwned и отказ от принудительной ротации без признаков компрометации. Эффективная политика дополняет требования к длине многофакторной аутентификацией, менеджерами паролей и ограничением частоты попыток.
● Примеры
- 01
Гранулярная политика паролей Active Directory с 14 символами и HIBP-проверкой для Domain Admins.
- 02
Регистрация в SaaS, отклоняющая любой пароль, найденный через API Pwned Passwords.
● Частые вопросы
Что такое Политика паролей?
Документированный набор правил создания, хранения, смены и проверки пользовательских паролей для баланса безопасности и удобства. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Политика паролей?
Документированный набор правил создания, хранения, смены и проверки пользовательских паролей для баланса безопасности и удобства.
Как работает Политика паролей?
Политика паролей определяет требования к выбираемым пользователями секретам: минимальная длина, допустимые символы, сверка со списками скомпрометированных паролей, сроки действия и пороги блокировки. Современные рекомендации NIST SP 800-63B (редакция 3 и проект редакции 4) отказались от обязательной периодической смены и сложных правил состава, поскольку эмпирически они приводят к предсказуемым паролям. Текущая базовая планка — минимум 8 символов (15+ для привилегированных учётных записей), сверка со списками вроде Have I Been Pwned и отказ от принудительной ротации без признаков компрометации. Эффективная политика дополняет требования к длине многофакторной аутентификацией, менеджерами паролей и ограничением частоты попыток.
Как защититься от Политика паролей?
Защита от Политика паролей обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Политика паролей?
Распространённые альтернативные названия: Правила паролей, Политика учётных данных.
● Связанные термины
- identity-access№ 795
Пароль
Секретная строка символов, которую пользователь предъявляет системе для подтверждения своей личности; традиционно — основной механизм однофакторной аутентификации.
- identity-access№ 796
Энтропия пароля
Мера непредсказуемости пароля в битах: чем выше энтропия, тем больше попыток понадобится злоумышленнику для его подбора.
- identity-access№ 884
Скомпрометированный пароль (Pwned)
Пароль, уже фигурирующий в известной утечке данных, поэтому он не должен допускаться в качестве пользовательского секрета — каталог ведёт сервис Have I Been Pwned Троя Ханта.
- identity-access№ 797
Менеджер паролей
Приложение, которое генерирует, хранит и автоматически подставляет уникальные надёжные учётные данные; защищается мастер-фразой и всё чаще passkey.
- identity-access№ 708
Многофакторная аутентификация (MFA)
Метод аутентификации, при котором перед предоставлением доступа требуется два и более независимых фактора, обычно из разных категорий.
- identity-access№ 009
Блокировка учётной записи
Механизм, временно или постоянно блокирующий попытки входа после заданного количества подряд идущих ошибок, замедляющий онлайн-перебор паролей.