Зал славы худших паролей. И 10 советов по повышению их безопасности

Дата: 19.04.2021. Автор: Владимир Безмалый. Категории: Блоги экспертов по информационной безопасности
Зал славы худших паролей. И 10 советов по повышению их безопасности

https://ib-bank.ru/bisjournal/news_cat/8


Владимир Безмалый

Удалите эти распространенные пароли прямо сейчас и воспользуйтесь этими советами для повышения безопасности паролей.

Популярная викторина: какой пароль был самым популярным — и, следовательно, наименее безопасным — каждый год с 2013 года? Если бы вы ответили «password», вы были бы близки. «Qwerty» — еще один претендент на сомнительную награду, но чемпионом является самый простой и очевидный пароль, который только можно вообразить: «123456».

Да, многие люди по-прежнему используют «123456» в качестве пароля, согласно 200 наиболее распространенным паролям 2020 года от NordPass, основанном на анализе паролей, обнаруженных в результате утечки данных. Последовательность из шести цифр также занимала высокие места в других списках на протяжении многих лет; SplashData, который составлял списки с использованием аналогичной методологии, нашел «123456» на втором месте в 2011 и 2012 годах; затем он стал номером один, где оставался ежегодно вплоть до 2019 года.

Множество других эпически небезопасных паролей продолжают вызывать позор в ежегодном зале паролей, включая вышеупомянутый «password» (всегда в первой пятерке и № 1 в 2011 и 2012 годах); «Qwerty» (всегда в первой десятке); и немного более длинный вариант действующего чемпиона, «12345678» (всегда в первой шестерке).

10 самых распространенных паролей 2020 года

Согласно списку самых распространенных паролей NordPass, это 10 наиболее часто используемых и худших паролей 2020 года:
 

  1. 123456
  2. 123456789
  3. picture1
  4. password
  5. 12345678
  6. 111111
  7. 123123
  8. 12345
  9. 1234567890
  10. senha

Другие списки наихудших паролей, такие как SplashData и Национальный центр кибербезопасности Великобритании, в основном согласованы. Легко угадываемые числовые последовательности и «слова», состоящие из букв, непосредственно прилегающих друг к другу на стандартной QWERTY-клавиатуре, всегда популярны; так же и фраза «iloveyou», потому что мы разновидность безнадежных романтиков. Еще один постоянный победитель, вызывающий передергивание, — это слово «password». Кстати, в этом году список NordPass пополнился еще одним словом «Senha», что в переводе с португальского означает, как вы уже догадались, «пароль». Это может свидетельствовать о том, что растущее население Бразилии становится все более подключенным к Интернету, хотя, по-видимому, они не больше заботятся о безопасности, чем англоговорящие.

Вот самые распространенные пароли за последние три года:
 

blank

На пути к лучшей безопасности паролей

Компании все чаще используют службы многофакторной аутентификации (MFA) и единого входа (SSO) для повышения безопасности. Тем не менее, согласно 3-му ежегодному глобальному отчету о безопасности паролей (2019) от LogMeIn , слишком много сотрудников «по-прежнему не соблюдают правила гигиены паролей, что снижает общую безопасность их компании».

Неудивительно, что у многих сотрудников усталость от паролей, что, в свою очередь, приводит к слабой безопасности паролей. Отчет LogMeIn показывает, что пользователи в более крупных компаниях (от 1001 до 10 000 сотрудников) имеют в среднем 25 паролей, с которыми приходится бороться. Проблема стоит более остро для пользователей малых предприятий (25 и менее сотрудников), которым приходится манипулировать в среднем 85 паролями. Сотрудники в сфере средств массовой информации/рекламы используют наибольшее количество паролей — в среднем 97 — по сравнению с 54 паролями на одного сотрудника в правительстве (сектор с наименьшим средним количеством паролей на одного сотрудника).

По словам Роберта О’Коннора, директора по информационной безопасности компании Neocova и бывшего заместителя директора по корпоративной информационной безопасности ЦРУ, есть три основных способа взлома паролей: угадывание (человеком), взлом (алгоритмический грубый метод), и захват (путем получения доступа к месту, где был сохранен пароль, будь то база данных или стикер). Каждый из следующих методов пытается смягчить один или несколько из этих методов; например, пароли с личной информацией легче угадать, а более короткие пароли легче взломать.

Вот что говорят эксперты: проблемы с корпоративными паролями и советы по улучшению паролей и безопасности аутентификации.

Требовать использование менеджера паролей.

«Приложения для управления паролями для бизнес-пользователей (такие как 1Password, Dashlane и LastPass) — эффективный первый шаг к снижению рисков безопасности, связанных с паролями», — отмечает доктор Дэвид Арчер, главный ученый в области криптографии и многосторонних вычислений в исследовательской и консалтинговой компании Galois. Он рекомендует, чтобы корпоративные пользователи использовали менеджеры паролей для создания и хранения длинных паролей со всеми включенными вариантами алфавита (такими как буквы в смешанном регистре). Он добавляет, что при наличии диспетчера паролей у пользователей должно быть только два пароля, которые им нужно запомнить: пароль к приложению диспетчера паролей и пароль к учетной записи компьютера, в который пользователь входит каждый день.

Требовать использование многофакторной аутентификации (MFA) . Факторы MFA включают в себя то, что вы знаете (пароль), что у вас есть (устройство, например, смартфон), и кто вы (скан отпечатка пальца или распознавания лица). По словам Джастина Харви, руководителя глобального реагирования на инциденты в Accenture Security, использование MFA для запроса проверки, например кода, отправленного на мобильное устройство, в дополнение к использованию надежных уникальных паролей может помочь обеспечить лучшую защиту предприятия.

Не позволяйте пользователям создавать пароли с помощью словарных слов.

При атаке по словарю методом перебора злоумышленник использует программное обеспечение, которое систематически вводит каждое слово в словаре для определения пароля. Чтобы предотвратить подобные атаки, многие эксперты не рекомендуют использовать слова, существующие в словаре.

Длина имеет значение, а фразы длиннее слов.

Тем не менее, давний упор на странные или «особые» символы, которых нет в обычных словах, может игнорировать общую картину. Вместо этого «длина — сила», — говорит Тайлер Моффитт, старший аналитик по безопасности в Webroot. «Более длинные пароли сложнее взломать, говоря криптографически, чем короткие, даже если используются специальные символы. Такой пароль, как «AN3wPw4u!». для автоматизированного криптографического взломщика намного проще, чем пароль типа «SnowWhiteAndTheSevenDwarves».

Удерживайте пользователей от паролей, содержащих информацию о них.

Не используйте имена супругов, домашних животных, города проживания, места рождения или любую другую личную информацию в пароле, так как эта информация может быть получена из учетных записей пользователя в социальных сетях. «У хакера гораздо больше шансов угадать имя вашего питомца + 1234 в качестве пароля, чем у него, чтобы выяснить, что ваш пароль — «D2a5n6fian71eTBa2a5er», — говорит Дэйви. Александр Маклаков, ИТ-директор MacKeeper, предлагает использовать более длинную парольную фразу, такую как «ImgoingtorunBostonMarathon2022», которая привязана к вашим личным целям, но не включает легко исследуемую личную информацию.

Обучите пользователей тому, что делает надежный пароль.

Надежный пароль больше нигде в публичной сфере (например, в словарях) не появляется, не появляется нигде в приватном (например, у других учетных записей пользователей) и содержит достаточно случайных символов, чтобы угадать — говорит Арчер Кэмерон Буланда, инженер по безопасности в Infosec, предлагает живую демонстрацию процесса взлома паролей, чтобы понять суть проблемы. «Хотя многие из этих инструментов могут использоваться для злонамеренных действий, профессионалы в области безопасности могут использовать их для создания реального примера того, как усложнение паролей защищает пользователей от атак, особенно от атак грубой силы», — говорит он.

Регулярно проводите аудит паролей.

В идеале ваша организация должна использовать систему аутентификации, которая позволяет проводить аудит паролей, говорит Тим Макки, главный стратег по безопасности в Исследовательском центре кибербезопасности Synopsys (CyRC). «Ищите такие вещи, как повторное использование пароля сотрудниками или использование общих слов или общих слов с простой заменой символов. Если вы обнаружите ненадежный пароль, используйте это мероприятие как возможность для обучения пользователей».

Поощряйте пользователей проверять свои пароли.

Существует ряд ресурсов, которые позволят пользователям исследовать, насколько безопасен потенциальный пароль, прежде чем они начнут его использовать. Например, Маклаков из MacKeeper указывает на My1Login (Password Strength Test), который сообщает вам, сколько времени потребуется типичному алгоритму, чтобы взломать ваш пароль, или Have I Been Pwned?, который сравнивает ваш пароль с обширной базой взломанных учетных данных, циркулирующих в dark web.

Не осуждайте ошибки.

«Создайте среду, в которой сотрудники будут чувствовать себя комфортно, задавая вопросы или опасаясь безопасности, особенно если они подозревают, что, возможно, ошиблись», — предлагает Дэйви из 1Password. «Не обвиняйте людей в злодеяниях», — говорит он, потому что они могут бояться сказать вам, когда совершили ошибку. «Если вы знаете о проблемах безопасности по мере их возникновения, вы можете быстро отреагировать на первоначальную угрозу и предпринять шаги, чтобы предотвратить ее появление в будущем».

И последнее замечание: «традиционные» пароли развиваются, и многие советы, которые раньше считались само собой разумеющимися, теперь считаются ошибочными или устаревшими. Например, самая последняя версия руководящих принципов NIST по паролям, которые широко считаются золотым стандартом в этой области, не рекомендует использовать обычную практику принуждения пользователей к регулярной пересылке пароля, поскольку для них обременительно придумывать несколько высококачественных паролей. пароли, и многие в конечном итоге меняют свои предыдущие пароли предсказуемым образом — например, просто меняя знаки доллара на букву S.

NIST также рекомендует предоставить пользователям возможность отображать пароли при вводе; это увеличивает вероятность того, что пользователи придумывают более длинные и сложные пароли, что более чем компенсирует вероятность того, что кто-то нечестивый может прочитать пароль через плечо пользователя. Общий урок состоит в том, что ваша политика паролей должна развиваться, как и остальная часть вашей программы безопасности. Это не значит, что вы делали это неправильно, просто вы работаете в динамичной и быстро развивающейся отрасли!


Источник — Блог Владимира Безмалого «Быть, а не казаться. О безопасности и не только».

Владимир Безмалый

Об авторе Владимир Безмалый

Данный блог посвящен информационной безопасности и информационнм технологиям.
Читать все записи автора Владимир Безмалый

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *