Ротация паролей — это процесс плановой или экстренной смены паролей для предотвращения несанкционированного доступа к информационным системам. Ротация является ключевым элементом управления привилегированным доступом (PAM) и жизненным циклом учётных данных: без неё скомпрометированный пароль может оставаться действующим месяцами.
Зачем нужна ротация паролей
Регулярная и экстренная смена паролей закрывает несколько классов угроз одновременно.
- Компрометация учётных данных. Использование украденных паролей остаётся одним из главных векторов атак — особенно в части привилегированных аккаунтов. Ротация ограничивает окно использования похищенного пароля.
- Увольнение и смена персонала. Даже при своевременной деактивации учётной записи бывший сотрудник мог передать пароль третьим лицам. Плановая ротация нейтрализует этот риск.
- Атаки методом перебора и утечки баз данных. Хэши паролей из утёкших баз поддаются взлому офлайн. Если пароль сменили — взломанный хэш бесполезен.
- Долгоживущие привилегированные учётные записи. Пароли администраторов, не менявшиеся годами, становятся постоянной точкой входа для атакующего, получившего доступ к инфраструктуре.
Эволюция подходов: от регулярной смены к рекомендациям NIST
Долгое время стандартом считалась принудительная смена паролей каждые 90 дней. Эта практика устарела — и не только морально.
NIST SP 800-63B прямо рекомендует отказаться от принудительной периодической смены паролей для пользователей. Причина — поведенческая: когда людей заставляют регулярно придумывать новые пароли, они создают предсказуемые комбинации (Parol1! → Parol2! → Parol3!) или используют минимальные вариации. Итог: снижение реальной безопасности при видимости соответствия политике.
Согласно NIST SP 800-63B, смена пароля требуется только в двух случаях: при подозрении на компрометацию и при обнаружении пароля в базах утечек. Для всего остального — длина и уникальность пароля важнее его регулярной замены.
Это не означает, что ротация потеряла смысл. Она остаётся критически важной, но применять её нужно дифференцированно.
Ротация для пользователей и ротация для администраторов
Главная ошибка в политиках безопасности — применять одинаковый подход к рядовым сотрудникам и привилегированным учётным записям. Это принципиально разные сущности с разными рисками и последствиями компрометации.
| Параметр | Пользователи | Администраторы и привилегированные аккаунты |
|---|---|---|
| Рекомендуемая частота | После или при подозрении на компрометацию | Регулярно по расписанию: не реже 1 раза в квартал |
| Способ смены | Вручную пользователем или по требованию ИБ-отдела | Через централизованную систему управления паролями |
| Риски при отсутствии ротации | Длительное использование скомпрометированного пароля | Постоянный несанкционированный доступ к критической инфраструктуре |
| Последствия компрометации | Ограниченный ущерб в рамках прав пользователя | Полный контроль над системами, утечка данных, нарушение рабочих процессов |
Привилегированные учётные записи дают доступ к критическим системам — серверам, базам данных, сетевому оборудованию. Именно поэтому регулярная ротация для них обязательна вне зависимости от того, был ли зафиксирован инцидент.
Автоматизация ротации паролей в корпоративных системах
Ручная смена паролей в крупной организации не масштабируется: при десятках систем и сотнях учётных записей она неизбежно ведёт к ошибкам и «забытым» паролям. Автоматизированный процесс ротации строится по следующей схеме:
- Планирование. Для каждой категории учётных записей устанавливается расписание ротации с учётом регуляторных требований и внутренних политик безопасности.
- Генерация нового пароля. Система автоматически создаёт криптографически стойкий пароль, соответствующий установленным требованиям сложности.
- Обновление в целевой системе. Новый пароль применяется в Active Directory, LDAP или другой целевой системе аутентификации.
- Обновление в хранилище. Новое значение записывается в централизованный менеджер паролей, старое архивируется.
- Уведомление и аудит. Все изменения фиксируются в журнале с временными метками для последующего аудита и отчётности перед регуляторами.
Такой цикл исключает ситуацию, когда пароль ротирован в одной системе, но не обновлён в смежных — это распространённая причина инцидентов доступности.
Пассворк позволяет централизованно хранить пароли от критичных учётных записей, проводить аудит и управлять правами доступа к ним. Посмотрите, как Пассворк решает эту задачу
Требования регуляторов к смене паролей (ГОСТ и ФСТЭК)
Для российских финансовых организаций и операторов персональных данных ротация паролей — нормативное требование с конкретными параметрами.
ГОСТ Р 57580.1-2017: требования для финансовых организаций
Стандарт регулирует защиту информации финансовых организаций и устанавливает обязательный базовый состав мер в подпроцессе «Идентификация, аутентификация, авторизация при осуществлении логического доступа» (раздел 7.2.2.3). Все перечисленные меры обязательны для всех трёх уровней защиты (1, 2, 3-Т).
Ротация паролей:
- РД.19 — смена паролей пользователей не реже одного раза в год
- РД.20 — смена паролей эксплуатационного персонала (администраторов) не реже одного раза в квартал
Требования к сложности паролей — в том же блоке мер:
- РД.21 — пользователи используют пароли длиной не менее 8 символов
- РД.22 — эксплуатационный персонал использует пароли длиной не менее 16 символов
- РД.23 — пароли должны включать буквы в верхнем и нижнем регистрах и цифры
- РД.24 — запрет на использование легко вычисляемых сочетаний: имён, фамилий, наименований, общепринятых сокращений (обязательно для уровней защиты 1 и 2)
Дополнительные меры управления учётными записями:
- РД.25 — пользователи должны иметь возможность самостоятельно менять свои пароли
- РД.17 — запрет хранения аутентификационных данных в открытом виде
- РД.18 — запрет передачи аутентификационных данных в открытом виде по каналам связи
Таким образом, ГОСТ Р 57580.1 задаёт не только периодичность ротации, но и полный набор требований к паролям — от длины и состава символов до правил хранения и передачи.
Приказ ФСТЭК России №21: требования для операторов персональных данных
Мера АНЗ.5 входит в раздел «Контроль (анализ) защищённости персональных данных» и формулируется следующим образом:
«Контроль правил генерации и смены паролей пользователей, заведения и удаления учётных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе»
Ключевые особенности меры:
- Область применения — обязательна для УЗ1 и УЗ2 (первый и второй уровни защищённости ИСПДн). Это системы с наибольшим объёмом и чувствительностью персональных данных.
- Содержание меры шире, чем просто ротация паролей: АНЗ.5 требует комплексного контроля — правил генерации паролей, их смены, управления жизненным циклом учётных записей и соответствия фактических прав доступа установленным полномочиям.
- Характер меры — контрольный, а не только технический. Организация должна не только настроить технические средства, но и регулярно проверять, что правила фактически соблюдаются.
Что это означает на практике
Оба документа действуют в разных сферах и дополняют друг друга:
| ГОСТ Р 57580.1-2017 | Приказ ФСТЭК №21 (АНЗ.5) | |
|---|---|---|
| Кому адресован | Финансовые организации | Операторы персональных данных |
| Уровни применения | Все три уровня защиты | УЗ1 и УЗ2 |
| Что регулирует | Конкретные сроки и параметры паролей | Контроль правил генерации, смены, управления учётными записями |
| Характер требований | Технические и организационные меры | Контрольная мера (аудит соответствия) |
Регуляторные сроки задают нижнюю границу. Для привилегированных учётных записей с доступом к критическим системам лучшие практики предписывают более частую ротацию — вплоть до ежемесячной.
Лучшие практики внедрения ротации паролей
- Используйте централизованное хранилище паролей. Ротация теряет смысл, если новые пароли хранятся в таблицах или текстовых файлах. Корпоративный менеджер паролей обеспечивает единую точку управления и полный журнал изменений.
- Внедрите MFA параллельно с ротацией. Многофакторная аутентификация снижает ущерб от компрометации пароля ещё до его смены — это взаимодополняющие меры.
- Разграничьте политики для разных категорий учётных записей. Единое правило «менять каждые 90 дней» одинаково неэффективно для всех: избыточно для рядовых пользователей и недостаточно для администраторов.
- Настройте мониторинг утечек. Автоматическая проверка паролей по базам скомпрометированных учётных данных позволяет инициировать экстренную ротацию до того, как атакующий воспользуется утечкой.
- Фиксируйте все изменения паролей в журнале аудита. Это требование ГОСТ Р 57580.1 и одновременно практический инструмент расследования инцидентов.
Заключение
Ротация паролей работает, только если она дифференцированная: для рядовых пользователей — по инцидентам и при подозрении на компрометацию, для администраторов и привилегированных учётных записей — по расписанию, регулярно и под контролем. Единая политика «менять всем и каждые 90 дней» одновременно избыточна там, где не нужна, и недостаточна там, где критична.
Нормативная база РФ (ГОСТ Р 57580.1, Приказ ФСТЭК №21) и международные стандарты (NIST SP 800-63B) задают чёткие ориентиры. Реальная защита строится на их выполнении через автоматизированный, централизованно управляемый процесс — без ручных операций и человеческого фактора.
Менеджер паролей для бизнеса Пассворк централизует хранение учётных данных, разграничивает доступ к привилегированным аккаунтам и фиксирует все операции в журнале аудита. Попробуйте Пассворк бесплатно в своей инфраструктуре.
Часто задаваемые вопросы
Нужно ли менять пароль каждые 90 дней?
Для обычных пользователей — нет. NIST SP 800-63B рекомендует отказаться от принудительной периодической смены: она стимулирует создание слабых предсказуемых паролей. Смена нужна при подозрении на компрометацию или обнаружении пароля в базах утечек. Для администраторов и привилегированных учётных записей — регулярная ротация обязательна, не реже 1 раза в квартал согласно ГОСТ Р 57580.1.
Что такое экстренная ротация?
Экстренная ротация — немедленная смена всех паролей, связанных с инцидентом, при обнаружении утечки данных или компрометации учётных данных. В отличие от плановой ротации, она инициируется вне расписания и охватывает все системы, к которым имел доступ скомпрометированный аккаунт.
Чем отличается ротация для пользователей и администраторов?
Для рядовых пользователей ротация проводится в случае инцидента — NIST не рекомендует принудительную периодическую смену. Для администраторов и привилегированных учётных записей ротация обязательна по расписанию: компрометация таких паролей даёт атакующему полный контроль над инфраструктурой, поэтому окно риска должно быть минимальным.
Какие учётные записи требуют наиболее частой ротации?
Приоритет — привилегированные учётные записи с доступом к критическим системам: доменные администраторы, root-аккаунты серверов, учётные записи с доступом к базам данных и резервным копиям. Для них рекомендуется ротация не реже 1 раза в квартал, а при высоком уровне риска — ежемесячно.
Что должна включать политика ротации паролей?
Политика ротации должна определять: категории учётных записей и частоту смены для каждой, требования к сложности новых паролей, порядок экстренной ротации при инциденте, ответственных за контроль исполнения и механизм аудита. Без закреплённых правил ротация остаётся разовым действием, а не системным процессом.
Распространяются ли требования ГОСТ Р 57580.1 только на банки?
Формально стандарт разработан для финансовых организаций, однако его требования де-факто используются как ориентир в других отраслях — особенно там, где нет отраслевого аналога. Для операторов персональных данных обязательным является Приказ ФСТЭК №21, а ГОСТ Р 57580.1 может применяться добровольно или по требованию контрагентов и аудиторов.
Илья Шелыгин
Илья Шелыгин
Анастасия Лебедева