Парольная политика

SEC-CTRL-0002 карта меры

Статусчерновик

Версия0.1

Опубликовано08.06.2026

Пересмотрдо 08.12.2027

Доказанность Bкрупные наблюдательные данные

1. Утверждение

Традиционная парольная политика — принудительная периодическая смена паролей и требования к составу символов («буква, цифра, спецсимвол») — не снижает вероятность компрометации учётных записей, а в части принудительной ротации, вероятно, повышает её, провоцируя предсказуемые трансформации паролей. Эффективная политика строится на другом наборе: минимальная длина, блок-листы скомпрометированных и словарных паролей, ограничение частоты попыток входа, борьба с повторным использованием паролей и MFA как обязательный спутник. Парольная политика любого качества не защищает от фишинга и кражи паролей вредоносным ПО.

2. Какую управляемость сохраняет

Та же точка контроля, что и у MFA: учётная запись как роль субъекта в системе. Парольная политика снижает вероятность того, что противник подберёт или предскажет секрет входа — то есть закрывает один конкретный класс путей присвоения роли: атаки на угадываемость и переиспользование пароля. Политика не управляет путями, где пароль не угадывают, а крадут.

3. Механизм действия

Атаки на пароли делятся на три механики, и политика влияет на них по-разному:

Перебор по словарям и утечкам (credential stuffing, spraying). Противник пробует известные пароли — из утечек этого же пользователя или самые популярные пароли против многих пользователей. Работают блок-листы и запрет повторного использования: они выбивают именно те пароли, которые противник попробует первыми.
Офлайн-подбор по украденным хэшам. Решает длина (экспоненциальный рост стоимости подбора) и стойкое хэширование на стороне системы. Требования к составу почти не помогают: пользователи выполняют их шаблонно («Password1!»), и шаблоны давно встроены в инструменты подбора.
Предсказание по прошлым паролям. Принудительная ротация заставляет пользователей порождать новый пароль из старого предсказуемой трансформацией (инкремент цифры, сезон+год). Противник, знающий старый пароль, восстанавливает новый с высокой вероятностью — мера работает против защищающегося.

Ключевая причинная модель: политика эффективна настолько, насколько она увеличивает фактическую непредсказуемость пароля для противника, а не формальную сложность для аудитора. Требования, которые пользователь выполняет шаблонно, дают формальную сложность без непредсказуемости.

4. Доказательная база

Источник	Год	Тип данных	Ключевой результат	Уровень
Zhang, Monrose, Reiter, «The Security of Modern Password Expiration» (ACM CCS)	2010	Эмпирический анализ ~7,7 тыс. реальных учётных записей университета с историей смен	Зная предыдущий пароль, ~41% следующих паролей восстанавливаются офлайн за секунды, ~17% — онлайн менее чем за 5 попыток. Ротация даёт противнику мало, защищающемуся — вред	B
Komanduri et al., «Of Passwords and People» (CHI); Shay et al. (серия работ CMU)	2011–2016	Контролируемые эксперименты (лабораторные/онлайн, тысячи участников)	Композиционные правила дают малый прирост стойкости при высокой цене для пользователей; длинные парольные фразы превосходят короткие «сложные» пароли	A (лабораторная валидность)
Tan et al., «Practical Recommendations for Stronger, More Usable Passwords» (ACM CCS)	2020	Контролируемый эксперимент	Комбинация «минимальная длина + проверка минимальной стойкости + блок-лист» даёт лучший баланс стойкости и юзабилити; композиционные правила не нужны	A (лабораторная валидность)
Das et al., «The Tangled Web of Password Reuse» (NDSS)	2014	Измерительное исследование на утечках	~43–51% пользователей повторно используют пароли между сервисами (с трансформациями — больше); переиспользование — главный усилитель ущерба от любой утечки	B
Wang et al., «Targeted Online Password Guessing» (ACM CCS)	2016	Измерительное, модели на реальных утечках	Целевой подбор с использованием личных данных и старых паролей жертвы на порядок эффективнее слепого перебора	B
Florêncio, Herley, «An Administrator’s Guide to Internet Password Research» (USENIX LISA)	2014	Синтез исследований	Большинство традиционных требований не выдерживает проверки данными; усилия следует переносить с пользователя на систему (хэширование, троттлинг)	C
NIST SP 800-63B (ред. 3 → ред. 4)	2017, 2024–2025	Стандарт	Запрет обязательной периодической смены и композиционных правил (в ред. 4 — в форме «shall not»); требования: длина, блок-листы, проверка по утечкам	C
NCSC (Великобритания), Password Guidance	2015–н.в.	Методический документ	Отказ от плановой ротации; «три случайных слова»; перенос нагрузки на технические меры	C
Microsoft, отказ от password expiration в security baseline Windows	2019	Позиция вендора с публичным обоснованием	Плановая ротация исключена из базовой конфигурации как «устаревшая и малоценная мера»	C

Критика источников. Это одна из немногих тем ИБ с настоящими контролируемыми экспериментами (школа CMU), но эксперименты лабораторные: участники создают пароли для исследования, а не для своей зарплатной учётки — внешняя валидность ограничена. Полевое исследование UNC (2010) — самое сильное доказательство против ротации, но оно одно и проведено в академической среде. Консенсус NIST/NCSC/Microsoft опирается на эту базу и взаимно согласован, что повышает доверие, но не заменяет репликаций.

5. Размер эффекта

Вред ротации: при известном старом пароле ~41% новых паролей восстанавливаются офлайн почти мгновенно, ~17% — за ≤5 онлайн-попыток (UNC 2010). Положительный эффект ротации в полевых данных не зафиксирован.
Композиционные правила: прирост фактической стойкости мал и съедается шаблонностью; количественно — единицы бит энтропии при заметном росте ошибок входа и обращений в поддержку (серия CMU).
Блок-листы: выбивают пароли, на которые приходится непропорциональная доля успехов spraying-атак; точный полевой размер эффекта не опубликован — оценка уровня C, механизм прямой.
Длина: каждый дополнительный символ умножает стоимость офлайн-подбора; против онлайн-атак при работающем троттлинге длина сверх разумного минимума даёт мало.
Переиспользование: ~половина пользователей переносит пароли между сервисами — любая чужая утечка становится вашей атакой (Das 2014).

6. Границы применимости

Защищает (правильная политика):

от password spraying и credential stuffing (блок-листы, проверка по утечкам, троттлинг);
от офлайн-подбора при краже хэшей (длина + стойкое хэширование);
от целевого угадывания по старым паролям (отказ от ротации устраняет сам паттерн «старый пароль + 1»).

Не защищает:

от фишинга — пользователь отдаёт пароль любой стойкости одинаково охотно;
от инфостилеров и кейлоггеров — пароль крадётся в открытом виде;
от AiTM и кражи сессий;
от компрометации через процедуру восстановления;
от подбора паролей сервисных и технических учётных записей, если политика распространяется только на людей (Kerberoasting живёт именно здесь).

Принципиальная граница: парольная политика — мера против угадываемости, а доминирующие сегодня пути компрометации — кража (фишинг, инфостилеры). Поэтому потолок эффекта любой парольной политики структурно ограничен, и её карта не имеет смысла без карты MFA (SEC-CTRL-0001).

7. Известные способы обхода

Способ	Против чего работает	Статус
Фишинг / AiTM	Любая политика — пароль выдаётся добровольно	Массовый, доминирующий
Инфостилеры (кража сохранённых паролей и сессий)	Любая политика	Массовый, растущий рынок
Credential stuffing по чужим утечкам	Политика без проверки на переиспользование и без мониторинга утечек	Массовый
Password spraying	Политика без блок-листов и троттлинга	Массовый
Целевой подбор по личным данным и старым паролям	Политика с принудительной ротацией	Целевые атаки
Kerberoasting / офлайн-подбор сервисных паролей	Политика, не охватывающая сервисные учётные записи	Стандартная техника пентеста и APT
Сброс через поддержку / восстановление	Любая политика	Целевые атаки

8. Условия эффективности

Минимальная длина (для людей — от 12–14 символов или парольные фразы; для сервисных учётных записей — от 25+, поскольку их не вводят руками).
Блок-лист: топ популярных паролей, словари, контекстные слова (название организации, продукта, год) и проверка по базам утечек.
Отказ от плановой ротации; смена пароля — по событию: признаки компрометации, утечка, уход сотрудника с общих учёток.
Отказ от композиционных правил в пользу проверки фактической стойкости при создании.
Троттлинг и блокировка распылённых атак на стороне системы (включая защиту от spraying по многим учёткам, а не только подряд по одной).
Стойкое хэширование (bcrypt/scrypt/Argon2) — политика бессмысленна, если хэши падают за вечер.
Корпоративный менеджер паролей — единственный реалистичный способ добиться уникальных паролей без переиспользования.
MFA поверх — см. границы применимости.

9. Как проверить у себя

Аудит собственных хэшей (санкционированный): выгрузка из AD и подбор современным инструментарием на типовом GPU-стенде. Метрика: доля паролей, восстановленных за 24 часа. Это самый честный показатель фактической, а не бумажной стойкости.
Доля учётных записей с паролями из базы утечек (проверка через k-anonymity-сервисы или локальные базы).
Симуляция password spraying по согласованному сценарию: срабатывает ли детектирование и блокировка.
Проверка сервисных учётных записей: длина, возраст, наличие SPN с подбираемыми паролями.
Статистика поддержки: число сбросов паролей до и после отмены ротации (ожидаемо падает — это измеримая выгода).

10. Что опровергло бы это утверждение

Полевые данные, показывающие, что организации с принудительной ротацией имеют устойчиво меньшую частоту компрометаций учётных записей при прочих равных, — реплицированные и независимые.
Данные о том, что отмена композиционных правил при сохранении блок-листов и проверки стойкости привела к измеримому росту успешных подборов.
Существенное изменение ландшафта: например, если кража паролей станет настолько тотальной, что параметры угадываемости перестанут влиять на статистику инцидентов вообще, — тогда карта будет понижена не из-за ошибочности, а из-за утраты значимости меры.

11. Стоимость владения

Технически мера дешёвая: блок-листы и проверка стойкости — функции IdP/AD (включая бесплатные решения), троттлинг — конфигурация.
Основная статья — корпоративный менеджер паролей (лицензии + внедрение + обучение).
Отмена ротации снижает затраты: меньше сбросов через поддержку, меньше заблокированных учёток — редкий случай, когда доказательная мера экономит деньги.
Скрытая и главная стоимость — комплаенс-конфликт. Ряд российских нормативных и методических документов и устоявшаяся практика аудиторов по-прежнему предполагают периодическую смену паролей и композиционные требования. Организация может быть вынуждена сохранять ротацию формально. Честная стратегия: выполнять обязательный минимум там, где он юридически неизбежен, фиксировать расхождение с доказательной базой в своей модели угроз и не распространять устаревшие требования шире зоны действия норматива. Это расхождение — само по себе материал для раздела «Критика моделей и практик».

12. Типичные ошибки внедрения

Ротация каждые 90 дней «потому что так было всегда» — при отсутствии блок-листов.
Композиционные правила без проверки по словарям: «P@ssw0rd2026!» проходит политику.
Политика только для людей: сервисные учётные записи с паролями десятилетней давности.
Нет защиты от spraying: блокировка после N ошибок по одной учётке, но 2 попытки на каждую из 10 000 учёток проходят незамеченными.
Слабое хэширование в унаследованных системах (NTLM без защиты, MD5/SHA-1 в самописных приложениях).
Запрет менеджеров паролей «из соображений безопасности» — прямое принуждение к переиспользованию.
Подсказки и контрольные вопросы как канал восстановления — секрет слабее самого пароля.

13. Связанные меры и связки

Парольная политика — нога той же связки «контроль доступа к ролям», что и MFA: пароль + второй фактор + защита сессий + защищённое восстановление. Самостоятельной ценности почти не имеет: её потолок — атаки на угадываемость, которые без неё дешевле всего, но с ней противник просто переходит к фишингу и краже. Поэтому статус меры — гигиенический минимум, а не самостоятельная защита. Смежные карты: MFA (SEC-CTRL-0001), условный доступ (SEC-CTRL-0003), защита сессий (SEC-CTRL-0004), менеджеры паролей (отдельная карта в планах).

14. История пересмотров

Версия	Дата	Изменения
1.0	2026-06-09	Первая публикация. Уровень B. Цикл пересмотра 18 месяцев: доказательная база темы стабильнее, чем у MFA, основной драйвер изменений — динамика инфостилеров и нормативные обновления.

Источники

Zhang Y., Monrose F., Reiter M. The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis. ACM CCS, 2010
Komanduri S. et al. Of Passwords and People: Measuring the Effect of Password-Composition Policies. CHI, 2011
Tan J. et al. Practical Recommendations for Stronger, More Usable Passwords. ACM CCS, 2020
Das A. et al. The Tangled Web of Password Reuse. NDSS, 2014
Wang D. et al. Targeted Online Password Guessing: An Underestimated Threat. ACM CCS, 2016
Florêncio D., Herley C. An Administrator's Guide to Internet Password Research. USENIX LISA, 2014
NIST SP 800-63B. Digital Identity Guidelines
NCSC (UK). Password administration for system owners
Microsoft. Security baseline (отказ от обязательного password expiration). 2019