В ходе тестирования на проникновение, аудитов безопасности и других работ эксперты Positive Technologies проанализировали 185 000 паролей, используемых пользователями для входа в различные корпоративные системы. Результаты были обобщены ими в отчете о том, насколько защищенные паролем учетные записи устойчивы к атакам.
Выводы аналитиков
Результаты аналитиков неутешительны: удаленная атака по словарю может скомпрометировать 37% учетных записей, поскольку большинство пользователей продолжают выбирать простейшие комбинации букв и цифр для защиты своих компьютеров и установленных на них систем.
Таким образом, по оценкам, наиболее распространенными паролями для российских пользователей являются пароли, состоящие только из цифр — на их долю приходится около 53%. 88% используемых паролей — это пароли, содержащие цифры, строчные буквы английского алфавита или и то, и другое.
При этом пароли, используемые российскими пользователями, в большинстве случаев не превышают 8 символов, и лишь немногие используют пароли длиннее 12 символов. В то же время, по мнению экспертов, пароли длиной до 8 символов могут быть скомпрометированы в реальных условиях.
*. Российский список
Российский список самых распространенных паролей на 50% состоит из соседних символов (1234567, qwerty) — это комбинации, входящие в ТОП-10 распространенных паролей.
Парадоксальные выводы были сделаны при анализе паролей ИТ-администраторов. Несмотря на использование паролей большей длины, администраторы в 15% случаев выбирают пароли «словарные» или совпадающие с именем пользователя (10%), а в 2% случаев пароль отсутствует.
*. Женщины
Еще одна группа, которая выделилась в ходе исследования, — это женщины. Их пароли оказались несколько более уязвимыми для злоумышленников из-за более частого использования паролей по словарю. В среднем злоумышленнику требуется меньше времени, чтобы их найти.
В отчете также рассматривается вопрос использования «слабых» паролей в контексте соблюдения требований стандарта информационной безопасности в Стандарте безопасности данных индустрии платежных карт (PCI DSS). Согласно результатам исследования, 74% паролей, используемых в корпоративном секторе, не соответствуют требованиям PCI DSS.
Итоги
Все вышеупомянутые факторы — длина пароля, используемый набор символов, полное или частичное совпадение пароля с именем пользователя (логином), наличие пароля в общедоступных словарях — имеют фундаментальное значение для его безопасности и стойкости к взлому. Установление элементарных ограничений, таких как проверка минимальной длины и сложности пароля, по оценкам, снижает вероятность взлома системы более чем в 10 раз, заключил Дмитрий Евтеев, эксперт по информационной безопасности Positive Technologies.
«Данные, полученные Positive Technologies, подтверждают наблюдения аналитиков LK, — комментирует Виталий Камлюк, один из ведущих антивирусных экспертов« Лаборатории Касперского ». — Я хотел бы добавить, что помимо риска использования простых или« предсказуемых »паролей, есть и другая угроза: пользователи часто используют один и тот же пароль для разных ресурсов. В конце концов, среднестатистический пользователь сегодня на всякий случай должен помнить десятки паролей для различных онлайн-сервисов. Однако, желая упростить себе жизнь, многие пользователи часто начинают использовать одни и те же пароли для доступа ко всему: почте, социальным сетям и т.д. А это иногда приводит к тому, что пароль для доступа к сомнительному ресурсу оказывается таким же, как и, например, код электронного кошелька».
По словам Антона Крячкова, директора по продуктам Aladdin, исследования позитивных технологий «используют широкий спектр источников и опираются на данные« в реальном времени », что особенно ценно. Однако, по его словам, обеспечение защиты корпоративной информации на основе «примитивная пара« логин — пароль »похожа на построение кирпичного дома на пластилиновой основе». «Обеспечение надежной процедуры аутентификации в информационной системе компании — основная платформа для дальнейших мер безопасности, таких как безопасный доступ к базам данных, порталы, контроль физического доступа и доступ к приложениям », — сказал Крячков.
Топ-10. Самых распространенных паролей
1. 1234567
2,12345678
3,13456
4. Пустая строка
5,1345
6,7654321
7 qweasd
8,123
9. Qwerty
10,123456789
