Pareiza paroļu politika uzņēmumā

Kā izveidot efektīvu paroļu politiku uzņēmumā — paroļu pārvaldnieki, garums vs sarežģītība, MFA, NIST vadlīnijas un Latvijas konteksts.

2025. gada 15. jūlijs
securIT

Paroles joprojām ir primārais autentifikācijas mehānisms lielākajā daļā uzņēmumu sistēmu. Lai arī tehnoloģijas attīstās bezparoļu risinājumu virzienā, realitāte ir tāda, ka vairums uzņēmumu Latvijā vēl gadiem izmantos paroles. Tāpēc pareiza paroļu politika nav novecojis jautājums — tā ir pamata higiēna, bez kuras visi pārējie drošības pasākumi zaudē jēgu.

Šajā rakstā apskatīsim, kā izveidot praktisku un modernu paroļu politiku, kas atbilst jaunākajām NIST vadlīnijām un Latvijas uzņēmumu realitātei.

Kāpēc tradicionālā paroļu politika ir novecojusi

Daudzos uzņēmumos joprojām ir spēkā paroļu politika, kas pieprasa:

  • Mainīt paroli ik pēc 90 dienām
  • Ietvert lielos burtus, ciparus un speciālās rakstzīmes
  • Neatkārtot pēdējās 5 paroles

Šī pieeja rada drošības ilūziju. Praksē darbinieki:

  • Pievieno skaitli paroles beigās un palielina to katru reizi (Vasara2024!, Vasara2025!)
  • Pieraksta paroles uz piezīmju lapiņām vai nešifrētos failos
  • Izmanto vienu “spēcīgu” paroli visos pakalpojumos
  • Frustācijā izvēlas minimāli atbilstošas, viegli uzminamas paroles

NIST (Nacionālais standartu un tehnoloģiju institūts) savās atjauninātajās vadlīnijās (SP 800-63B) skaidri norāda: obligātā periodiskā paroļu maiņa vairs nav ieteicama, ja vien nav aizdomas par kompromitēšanu. Tā rada vairāk drošības problēmu nekā atrisina.

Moderna paroļu politika — galvenie principi

Garums ir svarīgāks par sarežģītību

12 rakstzīmju gara frāze (piemēram, MansKakisEdPicas42) ir drošāka nekā 8 rakstzīmju sarežģīta parole (piemēram, K#9xm$2p). Garākas paroles ir eksponenciāli grūtāk uzlauzt ar brute-force metodi, un tās ir vieglāk atcerēties.

Ieteicamie parametri:

  • Minimālais garums — 12 rakstzīmes (administratoriem — 16)
  • Atbalstīt ieejas frāzes (passphrases) — vairāku vārdu kombinācijas
  • Nebloķēt speciālās rakstzīmes, bet nepieprasīt tās obligāti
  • Maksimālais garums — vismaz 64 rakstzīmes (neierobežot mākslīgi)

Paroļu pārvaldnieki ir obligāti

Nevienam cilvēkam nav iespējams atcerēties unikālas, garas paroles desmitiemi vai simtiem pakalpojumu. Paroļu pārvaldnieks atrisina šo problēmu:

Uzņēmumam ieteicamie risinājumi:

  • Bitwarden — atvērtā koda, ar uzņēmuma plānu un centralizētu pārvaldību
  • 1Password Business — intuitīvs, ar komandu pārvaldību un administrēšanas konsoli
  • KeePass — lokāls risinājums, piemērots ļoti augstām drošības prasībām

Ieviešanas soļi:

  1. Izvēlieties un nopērciet uzņēmuma paroļu pārvaldnieku
  2. Apmāciet visus darbiniekus tā izmantošanā
  3. Pārnāciet visas esošās paroles uz pārvaldnieku
  4. Aizliedziet paroļu glabāšanu pārlūkprogrammās, failos un piezīmju lapiņās
  5. Iestatiet administratora piekļuvi atkopšanas gadījumiem

Daudzfaktoru autentifikācija (MFA)

MFA ir vienīgais efektīvais aizsardzības mehānisms gadījumā, ja parole ir kompromitēta. Microsoft dati rāda, ka MFA novērš 99,9% automatizēto kontu pārņemšanas mēģinājumu.

MFA ieviešanas prioritātes:

  1. E-pasts (Microsoft 365, Google Workspace)
  2. VPN un attālā piekļuve
  3. Mākoņpakalpojumi (AWS, Azure, GCP)
  4. Biznesa lietotnes (CRM, ERP, grāmatvedības programmas)
  5. Sociālie tīkli un mārketinga platformas

MFA metožu hierarhija (no drošākās):

  • Aparatūras drošības atslēgas (YubiKey, FIDO2) — visdrošākā metode
  • Autentifikācijas lietotnes (Microsoft Authenticator, Google Authenticator)
  • Push paziņojumi ar numuru salīdzināšanu (number matching)
  • SMS kodi — labāk nekā nekas, bet ievainojami pret SIM swapping uzbrukumiem

Biežākās paroļu kļūdas uzņēmumos

Koplietotie konti. Vairāki darbinieki izmanto vienu kontu ar vienu paroli. Tas padara neiespējamu auditēšanu un atbildības noteikšanu. Katram darbiniekam — savs konts.

Noklusētās paroles. Tīkla iekārtas, printeri, IoT ierīces bieži paliek ar rūpnīcas parolēm. Uzbrucēji zina visas noklusētās paroles — tās ir publiski pieejamas.

Paroles e-pastos un čatos. Darbinieki sūta paroles pa e-pastu vai Slack/Teams. Paroles jānodod tikai caur paroļu pārvaldnieka drošās koplietošanas funkciju.

Identiskas paroles darba un personīgajos kontos. Ja darbinieka personīgais konts tiek kompromitēts datu noplūdē, tā pati parole var tikt izmantota, lai piekļūtu uzņēmuma sistēmām.

Administratora kontu ikdienas izmantošana. Administratora kontus jāizmanto tikai administratīviem uzdevumiem. Ikdienas darbam — standarta konts ar ierobežotām tiesībām.

Paroļu politikas tehniskā ieviešana

Paroļu politikai jābūt ne tikai dokumentam, bet arī tehniski ieviestai:

Active Directory / Azure AD iestatījumi:

  • Minimālais paroļu garums — 12 rakstzīmes
  • Paroļu sarežģītības prasības — izslēgtas (aizstātas ar garuma prasību)
  • Paroļu derīguma termiņš — neierobežots (vai 365 dienas kā kompromiss)
  • Kontu bloķēšana pēc 10 neveiksmīgiem mēģinājumiem
  • Aizliegto paroļu saraksts — ietvert uzņēmuma nosaukumu, populāras paroles

Paroļu audits:

  • Regulāri pārbaudiet, vai uzņēmuma e-pasta adreses nav parādījušās datu noplūdēs
  • Izmantojiet rīkus kā Specops Password Auditor vai Have I Been Pwned API integrāciju
  • Monitorējiet neparastu pierakstīšanās aktivitāti (SOC uzraudzība to nodrošina automātiski)

Ceļš uz bezparoļu autentifikāciju

Nākotnes virziens ir bezparoļu (passwordless) autentifikācija. Tehnoloģijas jau ir pieejamas:

  • Windows Hello for Business — biometriskā autentifikācija (sejas atpazīšana, pirkstu nospiedumi)
  • FIDO2 drošības atslēgas — fiziskas atslēgas, kas aizstāj paroles
  • Passkeys — jauna tehnoloģija, ko atbalsta Apple, Google un Microsoft

Pagaidām lielākajai daļai Latvijas uzņēmumu ieteicams fokusēties uz spēcīgām parolēm + MFA un pakāpeniski pārejot uz bezparoļu risinājumiem, sākot ar augstākā riska kontiem.

Paroļu politikas dokuments — ko ietvert

Formālai paroļu politikai jāietver:

  1. Tvērums — uz kuriem sistēmām un darbiniekiem attiecas
  2. Paroļu prasības — minimālais garums, aizliegto paroļu saraksts
  3. MFA prasības — kur obligāta, kādas metodes atļautas
  4. Paroļu pārvaldnieka izmantošana — obligāta, kāds rīks
  5. Aizliegumi — paroļu koplietošana, glabāšana nešifrēti, sūtīšana pa e-pastu
  6. Incidenta procedūra — ko darīt, ja parole ir kompromitēta
  7. Izņēmumu process — kā pieprasīt izņēmumu un kas to apstiprina
  8. Pārskatīšanas grafiks — cik bieži politika tiek pārskatīta

Biežāk uzdotie jautājumi (BUJ)

Vai tiešām vairs nav jāmaina paroles regulāri? NIST rekomendē nemainīt paroles periodiski, ja vien nav pazīmju, ka tā ir kompromitēta. Obligātā periodiskā maiņa liek darbiniekiem izvēlēties prognozējamas paroles un pierakstīt tās. Tā vietā ieviesiet MFA un monitorējiet datu noplūdes — ja konts parādās noplūdē, nekavējoties pieprasiet paroles maiņu.

Kāds paroļu pārvaldnieks ir labākais uzņēmumam? Bitwarden ir labākā vērtības un kvalitātes attiecība — atvērtā koda, ar uzņēmuma plānu no ~4 EUR/lietotājs/mēnesī. 1Password ir nedaudz dārgāks, bet ar labāku lietojamību. Abiem ir centralizēta administrēšana, politiku iestatīšana un drošā koplietošana. KeePass ir bezmaksas, bet tam trūkst centralizētas pārvaldības.

Vai SMS kodi ir pietiekami droši MFA? SMS kodi ir labāk nekā nekāda MFA, bet tie ir ievainojami pret SIM swapping uzbrukumiem un SMS pārtveršanu. Uzņēmumiem ieteicams izmantot autentifikācijas lietotnes vai aparatūras atslēgas. SMS kodus atstājiet tikai tiem pakalpojumiem, kas neatbalsta citas metodes.

Kā pārliecināt darbiniekus izmantot paroļu pārvaldnieku? Sāciet ar demonstrēšanu — parādiet, cik ērti ir autoapilde un paroļu ģenerēšana. Paskaidrojiet, ka tas aizsargā arī viņu personīgos kontus. Padariet ieviešanu pakāpenisku — sāciet ar IT nodaļu, tad paplašiniet. Un galvenais — padariet to obligātu, ne brīvprātīgu. Darbinieku kiberdrošības apmācībā ietveriet paroļu pārvaldnieka praktisku lietošanu.

Vai vēlaties uzlabot sava uzņēmuma kiberdrošību? Sazinieties ar securIT[email protected] vai +371 27555221.