ניהול סיסמאות והרשאות ברמות התשתית ובאפליקציות השונות בארגון הינו בעייתי מעצם היותו נוגד את הטבע האנושי אשר לא אוהב שינוי ומאופיין בזכרון קצר. בכל ארגון אפליקציות רבות אשר לעיתים מנהלות באופן עצמאי את רשימות המשתמשים והסיסמאות שלהן או לחילופין מבססות את נושא ניהול המשתמשים על ה-Active Directory (ראו מאמר בנפרד). חשיבות ניהול הסיסמאות (כולל כמובן מורכבותן, אורכן, חוזקן וכו') גבוהה במידה כזו, שגם אם נשקיע אמצעים ומשאבים רבים בכל אמצעי האבטחה האחרים שאמורים להגן עלינו מפני מתקפות - ונזניח את ניהול הסיסמאות - הרי שנייצר במו ידינו את החוליה החלשה בשרשרת האבטחה. וכידוע - חוזקה של השרשרת נמדד תמיד בחוסנה של החוליה החלשה ביותר.

מסקר שנתי שנערך ע"י ה CSI ( (Computer Security Instituteבארה"ב אודות פשעי מחשב ואבטחת מידע לשנת 2007, וכלל 494 אנשי אבטחת מידע מחברות פרטיות ומשרדי ממשלה, עולה שתקריות אבטחה פנימיות התרחשו אצל 59% מן המשיבים, בעוד שרק 52% מהנשאלים השיבו שנאלצו להתמודד עם תופעות של וירוסים ברשתות הארגוניות עליהן הם מופקדים.

הבעיה

בארגונים רבים ניהול הסיסמאות וריבוי האפליקציות כה מסורבל עד שניתן לומר שמנהלי אבטחת המידע כמעט ונואשו מלטפל בבעיה לעומק ומסתפקים במתן פתרונות שטחיים וזמניים תוך התעלמות מפוטנציאל הנזק הגלום בנושא.

תוקף הסיסמה - בחברות רבות תוקף הסיסמה אינו פג לעולם כך שבפועל אין חשיבות למורכבות הסיסמה עקב התיישנותה. רבים מהמשתמשים מגלים את הסיסמה לעמית בעבודה או חושפים אותן בטלפון לגורם חיצוני אשר התחזה לעובד. במקרים אחרים נבחרת דרך ליישום סיסמאות מורכבות ואז ניתן לראות ע"ג שולחנות משתמשי הקצה אוסף של פתקים צהובים עליהם כתובה הסיסמה, או מדבקות ע"ג מסך המחשב, מתחת למקלדת וכד'. כאשר מדברים על סכנות מבית - הדרך השכיחה ביותר לחדור פנימה, אל תוך המערכות והנכסים העסקיים הקריטיים ביותר של הארגון הינה הדלת הוירטואלית של החברה שהמפתח שלה הוא הסיסמה. ככל שה"מפתח" יהיה קל יותר להשגה/פריצה/פיצוח/איתור וכו' - כך דרכו של הפורץ הפוטנציאלי תהיה קלה יותר.

כיום קיימים כלים רבים (מוצרי מדף ו/או מוצרים שניתנים להורדה באינטרנט) אשר תכליתם הינה פיצוח קודי סיסמאות ובכך הם מאפשרים להאקרים ותוקפים פוטנציאליים להשיג את מטרתם - פריצה קלה, נוחה ומהירה אל רשתות ארגוני היעד שלהם.

הפתרון

מומלץ לשלב מספר גורמים:

1. כתיבה ואכיפה של נהלים - יש לראות לנגד עינינו את המטרה הסופית בראייתנו את הארגון בתפקוד השוטף והיומיומי ולהתאים את הנהלים ולדאוג לאכיפתם בהתאם.
2. יש ליישם מדיניות הכוללת סיסמאות מורכבות, בעלות אורך חיים קצר תוך הנחיית המשתמשים שסיסמאות אלו לא יהיו גלויות בשום צורה (ע"ג שולחן העבודה ו/או בכל מקום אחר).
3. יש להגן על מחשבי הארגון בכלל ועל המחשבים הניידים בפרט באופן כזה שבמידה ומחשב נגנב או נפרץ - החומר שנמצא עליו  לא יהיה נגיש לפורץ.
4. יש לשקול יישום והטמעת פתרונות מרכזיים ייעודיים כדוגמת מערכת ניהול סיסמאות מרכזית (Password Management Solutions) אשר מאפשרים לנהל את כלל הסיסמאות הארגוניות מתוכנה מרכזית ובאופן מסודר וקל יחסית לאכיפה.
5. מערכות גדולות ומורכבות סובלות לעיתים מהקלות מקומיות והגמשת כללים (גם אם לא באופן גורף ומכוון). ולכן, יש לבצע בדיקות אבטחה באופן סדיר ושוטף ע"מ לאתר ולטפל באותן הגמשות נקודתיות שמתרחשות תוך כדי העבודה השוטפת.

דוגמאות

קיימים מספר כלים אשר בעזרתם ניתן לבחון - בתהליך מהיר וכולל - את ההגדרות הארגוניות ואת המצב הקיים בפועל.
לדפים הבאים מצורפות מספר דוגמאות של בדיקות מדיניות סיסמאות.

• בדיקת חיי סיסמה מינימאלי -  המחשב נכשל
  
• בדיקת אורך חיי סיסמה מקסימאלי -  המחשב עבר
  
  
• בדיקת אחסון מוצפן של הסיסמה -  המחשב נכשל
  
• בדיקת מורכבות סיסמה -  המחשב נכשל
  
• בדיקת היסטוריית הסיסמאות -  המחשב נכשל