Контроль слабых паролей

Одна из проблем безопасности - использование пользователями слабых или стандартных паролей, которые, в большинстве своём, уже скомпрометированы. Требовать сложных паролей в это ситуации - бессмысленно, люди всё равно будут использовать то, что им проще запомнить. Лучше использовать технические средства.

Оптимальным решением проблемы слабых паролей является двухфакторная авторизация. Но, если в силу каких-то причин это невозможно, то рекомендуется использовать функциональность Контроль слабых паролей.

Эта опция доступна с версии 21.500 Главного модуля. Контроль слабых паролей может быть включён для любой группы пользователей по отдельности. Для опытных пользователей, администраторов, например, можно его не использовать. Для запуска контроля в настройках нужной группы, в закладке Безопасность используйте чекбоксы:

Опция Проверять пароль по базе слабых паролей включает Контроль слабых паролей. Если установлена только она, то новый пользователь не сможет зарегистрироваться вводя слабый пароль, но те, у кого уже установлены слабые пароли, по-прежнему смогут ими авторизовываться.

Опция Требовать смены пароля при несоответствии текущей политике при попытке авторизации будет требовать от пользователя сменить слабый пароль и не разрешит вход в систему. Опция работает в зависимости от значения, установленного в поле Требовать смены пароля через указанное количество дней. До истечения этого срока авторизация возможна. Если значение этого поля не менялось от значения по умолчанию (значение по умолчанию - 0), то смена пароля будет востребована при первой же попытке авторизации.

База паролей

Штатная база База размещается в папке /bitrix/modules/main/data/weak_passwords. Подкладывать в эту папку свои файлы нельзя: это ядро системы. слабых паролей состоит из 1 000 000 записей. Если у вас есть своя база слабых паролей, возможно её использование. Для этого достаточно загрузить её на сайт через соответствующую опцию в Служебных процедурах в настройках Главного модуля:

Формат и размер файла может быть любым, предпочтителен формат TXT. Обязательное требование одно: каждый пароль должен быть размещён на одной строке.

Пользовательская база будет размещена по пути /upload/main/weak_passwords. Для удобства работы единый загруженный файл будет разбит на несколько отдельных файлов. Пароли числом знаков Поле Минимальная длина пароля в настройках Безопасности группы пользователей. меньше, чем разрешено в системе, загружены не будут.

Работа контроля слабых паролей

При включённом инструменте Контроль слабых паролей пользователь не сможет зарегистрироваться в системе:

Если включено требование смены пароля, то по наступлению срока смены появится надпись:

Рекомендуется

• В дополнение к Контролю слабых паролей используйте инструмент Безопасная авторизация.
• Даже если вы используете все технические средства безопасной авторизации, доступные в продукте, отказ от использования протокола HTTPS будет не лучшим решением.