Более 44 млн пользователей из 3 млрд применяют один пароль для всех личных аккаунтов. Об этом говорится в исследовании Microsoft Security Intelligence Report. В случае попадания такой комбинации к злоумышленникам все аккаунты пользователя можно будет взломать не более чем с 10 попыток.
© ComNews
18.12.2019

С января по март 2019 г. Microsoft проверила более 3 млрд учетных данных, полученных из различных источников, включая общедоступные базы данных. Целью исследования стал поиск скомпрометированных учетных данных в системах Microsoft. Результаты исследования показали, что более чем в 44 млн случаев пользователи устанавливали один и тот же пароль для Azure AD и служб Microsoft.

Авторы исследования предупреждают: если в руки злоумышленников попадает одна подобная пара логин-пароль, то в 30% случаев подобрать частично измененный пароль (например, с добавлением порядкового номера) к другим учетным записям можно не более чем с 10 попыток, что может быть использовано для атак на облачные сервисы, DDoS-атак, рассылки фишинговых писем или майнинга криптовалют.

Согласно аналогичному исследованию 2018 г., проведенному Политехническим университетом Виргинии, из 30 млн пользователей 52% пренебрегали правилами безопасности и использовали один и тот же или частично измененный пароль. В 2019 г. число подобных пользователей снизилось, но цифры все еще остаются внушительными.

"Обнаружив совпадения в учетных данных, мы принудительно производим сброс пароля и при следующем входе просим пользователя задать новый. Никаких дополнительных действий со стороны пользователя не требуется. В случае с корпоративными доступами Microsoft уведомляет администратора о рисках и возможных последствиях таких действий. Исследование Microsoft Security Intelligence Report также показало, что 99,9% атак на аккаунты предотвращены путем включения многофакторной аутентификации, которая является важным инструментом безопасности", - отмечает руководитель программ информационной безопасности Microsoft в странах Центральной и Восточной Европы Артем Синицын.

Пресс-секретарь Dr. Web Максим Якушев сетует, что ситуация, действительно, пугающая, несмотря на просветительские меры и повторяющиеся целевые публикации на эту тематику. "Повторяющиеся пароли - это беда и отсутствие понимания элементарных правил информационной безопасности. Тем не менее пользователи продолжают применять старые/простые или "универсальные" пароли для доступа к разнообразным аккаунтам. Но одной лишь мерой создания для каждого ресурса своего уникального пароля можно не обойтись. В идеале пароль не должен вообще нигде храниться", - рассуждает он.

Представитель Dr. Web не советует использовать личную информацию при составлении пароля и очевидные и простые слова. "Пароль должен состоять из восьми и более символов в разном регистре и со специальными символами. Обязателен к установке и антивирус на устройстве, чтобы первый попавшийся троянец не смог утащить ваши пароли в сети злоумышленников", - сказал Максим Якушев.

Директор по консалтингу ГК InfoWatch Мария Воронова поделилась личными рекомендациями в части подхода к управлению паролями. Она советует для всех критичных ресурсов (госуслуги, электронный банкинг, сайты с бонусными программами, социальные сети и т.д.) обязательно иметь отдельные сложные пароли. Для тех ресурсов, через которые может быть получен доступ к критичным ресурсам - например, восстановление пароля электронного банкинга через аккаунт электронной почты, - также должен быть задан сложный пароль. Кроме того, продолжает специалист InfoWatch, крайне важно применять многофакторные механизмы аутентификации для сброса пароля (например, электронная почта и смс- или push-сообщение с одноразовым паролем на номер телефона).

Как отмечает Мария Воронова, что касается остальных - некритичных ресурсов (подавляющее большинство интернет-магазинов без хранения персональных и платежных данных, новостные сайты, развлекательные ресурсы и т.п.) - допустимо использовать один пароль, возможно даже не слишком сложный. "Многие сервисы сейчас предлагают "сквозную аутентификацию" - использование аккаунта от соцсети или почты для входа в интернет-магазин и т.п. и т.д. Удобно с точки зрения минимизации количества учетных данных, которые требуется запомнить, но в то же время мой личный "параноик" применять учетные данные от критичных ресурсов для входа в некритичные не позволяет", - делится своим опытом специалист InfoWatch.

Чтобы избежать утечек и краж данных, руководитель офиса Wi-Fi+AutoID компании "Первый Бит" Александр Пушкарев порекомендовал компаниям использовать оборудование enterprise-класса для построения Wi-Fi-сети. "У такого оборудования высокий уровень защиты. Также не стоит забывать и про профессиональные программы по информационной безопасности. Например, программно-аппаратные продукты Fortinet и Check Point. Эти компании - лидеры квадрата Gartner, - перечисляет Александр Пушкарев. - Для крупных предприятий будет выгодно построить у себя сетевую фабрику. Этот подход подразумевает создание сети, которая объединяет несколько систем на одном облачном сервере".

Новости из связанных рубрик