Повторное использование паролей является одной из самых частых причин компрометации учетных записей. Даже при наличии регламентов, сложных требований к длине пароля и средств многофакторной аутентификации, значительная часть сотрудников продолжает применять одни и те же или схожие пароли в разных системах. Это делает инфраструктуру уязвимой к атакам, использующим перехваченные или утекшие учётные данные, и существенно повышает риск несанкционированного доступа.
В этой статье мы разберем, как на практике организовать контроль повторного использования паролей внутри компании, какие требования должны быть отражены в политике безопасности, а также как технически реализовать защиту и выстроить мониторинг и отчётность, позволяющие своевременно выявлять нарушения и подтверждать соответствие.
Политика по управлению повторным использованием паролей
Чтобы трактовка требований пользователей и ИБ-специалистов не отличалась, политика должна объясняться четко и простыми словами:

что считается «повторным использованием пароля»;
что такое «история паролей»;
какие учетные записи попадают под какие правила.

Политика должна объяснять, зачем и когда менять пароль, четко обозначая временные рамки, но при этом не делая это слишком часто, чтобы сотрудники не придумывали похожие пароли:

для обычных пользователей раз в 2–3 месяца;
для администраторов примерно раз в месяц;
если включена многофакторная аутентификация, жёсткая периодичность может быть мягче.

Для сервисных, автоматических и привилегированных учетных записей политика должна устанавливать отдельные правила:

пароли не повторяются никогда;
ротация автоматизирована;
запрещено хранить пароли «вручную» (файлы, блокноты, переписка);
желательно использовать менеджер секретов.

Такой подход предотвращает типичные инциденты, когда один и тот же пароль живёт годами и используется в десятках интеграций.
Политика должна однозначно отвечать на вопросы:

кто устанавливает и изменяет правила,
кто следит за соблюдением,
кто реагирует на инциденты,
кто согласовывает исключения.

Техническое обеспечение политики
Одного наличия перечня правил недостаточно для контроля за повторным использованием паролей; важно, чтобы правила соблюдались на практике, а также чтобы их нельзя было «обойти» или случайно нарушить.
Хранение истории паролей
Системы должны хранить хэши (не сами пароли) нескольких предыдущих комбинаций, чтобы новый пароль сравнивался с предыдущими и повторить его было невозможно.
Настройки в домене и учетных системах
В инфраструктуре должны быть включены параметры, которые:

запрещают использование старых паролей,
проверяют сложность нового пароля,
ограничивают частоту попыток смены,
ведут журнал событий: кто менял пароль, кто пытался повторить.

Многофакторная аутентификация
MFA снижает риски при утечке пароля; злоумышленники часто пробуют украденные пароли именно в тех местах, где MFA нет, например, во внутренних сервисах.
Логирование и мониторинг
Все операции с паролями должны попадать в журналы:

успешные и неуспешные попытки смены;
попытки установить старый пароль;
действия администраторов;
события, связанные с доступом после смены пароля.

Среди отечественных компаний можно рассмотреть следующие решения:
Solar inRights PAM

Автоматически проверяет новые пароли на повторение с предыдущими и с базой утёкших паролей.
Блокирует ввод пароля, если он совпадает хотя бы с одним из последних 15.
Ведёт полный журнал «кто, когда, какой пароль поставил» (хэши, конечно).

SIEM KUMA (Kaspersky Unified Monitoring and Analysis Platform)
Это высокопроизводительное решение класса SIEM российского производства, предназначенное для централизованного сбора, анализа и корреляции ИБ-событий из различных источников данных для выявления потенциальных киберинцидентов и своевременной их нейтрализации. Решение собирает события смены паролей из AD, 1С, почты, VPN, если один и тот же хэш появляется в разных системах.
Мониторинг соблюдения политики
Политика должна описывать не только требования, но и механизм контроля. Без мониторинга любая политика превращается в декларацию.
Компания должна регулярно отслеживать:

попытки установить старые пароли;
резкое увеличение числа смен пароля (признак компрометации или автоматизированной атаки);
длительное отсутствие смены пароля у тех учеток, где смена обязательна;
попытки перебора паролей;
подозрительные входы после смены пароля.

Политика должна указать минимальный набор инструментов:

журналы безопасности домена;
систему SIEM, куда уходят события смены пароля, неудачные попытки и аномалии;
мониторинг сервисных учетных записей.

Мониторинг не должен зависеть от одного администратора — это централизованный процесс, в котором каждый отвечает за свою сферу:

ИТ-администраторы — следят за корректной работой механизмов;
ИБ-специалисты — анализируют события, находят нарушения и принимают меры;
Руководители подразделений — обеспечивают, чтобы сотрудники соблюдали правила.

Политика должна требовать, чтобы ИБ-команда или ИТ ежемесячно/ежеквартально формировали отчёт. В него обычно входит:

число учётных записей с истёкшими паролями;
учётки, где смена задержалась слишком долго;
попытки повторного использования паролей;
подозрительные или аномальные события;
статус сервисных паролей в менеджере секретов.

По итогам ответов должны устраняться несоответствия, закрываться устаревшие учетные записи, корректироваться настройки систем и проводиться обучающие мероприятия.
Чтобы политика работала, сотрудники должны понимать, что любое нарушение несет в себе огромные риски для компании. Нарушения могут быть ошибочными (забыли сменить пароль вовремя и попытались вернуть старый), сотрудник намеренно может игнорировать требования, а также администратор может повторять пароль на сервисных учетных записях, хранить пароли в файле, отправлять их в мессенджере, что является грубым критическим нарушением.
В таких случаях реакция должна быть оперативной и четкой:

автоматическая блокировка учётки при попытках повторного использования;
требование сменить пароль при выявлении нарушения;
уведомление руководства при повторяющихся инцидентах;
дисциплинарные меры при критических нарушениях.

Заключение
Контроль повторного использования паролей — это комплексная часть системы управления идентификацией. Российский опыт, а также практика расследования инцидентов показывает, что чтобы система работала, важно иметь формализованную политику, соответствующую отечественным требованиям, гарантировать техническое выполнение требований, а также проводить регулярный мониторинг и фиксировать результаты в отчетности, включая процесс в общую модель управления ИБ.
Если эти элементы встроены в цикл управления доступами, повторное использование паролей перестаёт быть угрозой и превращается в контролируемый фактор риска. А если у вас остались вопросы, команда «Астрал. Безопасность» всегда готова вам помочь!
Автор статьи: Филиппова Анастасия Вячеславовна, специалист по информационной безопасности.