Результаты исследования Deloitte: Более 90% паролей уязвимы для взлома

В 2013 г. более 90% паролей, созданных интернет-пользователями для защиты информации, будут уязвимыми для хакеров, в том числе и те, которые IT-службы компаний-работодателей признают вполне надежными. Такой прогноз содержится в исследовании «Высокие технологии, телекоммуникации, развлечения и СМИ», выпущенном Deloitte.

Сейчас наиболее распространены пароли, состоящие как минимум из восьми символов, включающих несколько букв, хотя бы одну цифру и один не буквенно-цифровой символ. Не обеспечивая идеальной защиты, такой пароль считался достаточно хорошим даже для таких операций, как банковские транзакции и электронная коммерция, говорится в исследовании. Пароль, в котором задействованы восемь из 94 символов стандартной клавиатуры, представляет собой одну из почти 6,1 квадриллиона (6 095 689 385 410 816) возможных комбинаций, и для проверки каждой из них относительно быстрому ПК в 2011 г. потребовался бы примерно год. Тем не менее даже такие пароли оказываются уязвимыми с учетом некоторых особенностей поведения людей, пишут эксперты Deloitte. Поскольку запомнить восемь разнородных символов очень трудно, пользователи часто придумывают приемы, облегчающие запоминание: например, часто привязывают пароль к каким-либо словам, существующим в их языке и связанным с их опытом. Прописной символ они обычно ставят в начале пароля, а цифры в конце, повторяя их или размещая в порядке увеличения. В результате «пароли становятся не такими уж случайными, а значит, не такими надежными», констатируют авторы отчета: в одном из недавних исследований, где рассматривались 6 млн реальных пользовательских паролей, было обнаружено, что всего лишь 10 000 наиболее часто встречающихся паролей дают доступ к 98,1% всех учетных записей.

Еще одна большая проблема — то, что один и тот же пользователь часто использует один и тот же пароль для защиты своих учетных записей на разных ресурсах. В среднем один человек имеет 26 учетных записей, защищенных паролями, подсчитали эксперты Deloitte, а паролей использует всего пять. В результате, взломав его аккаунт, например, на менее защищенном сайте онлайн-игр или в социальной сети, злоумышленник может раскрыть и пароль, защищающий банковский счет человека — именно это произошло в 2011-2012 гг. после ряда взломов, и теперь существуют веб-сайты, на которых можно получить десятки миллионов реальных паролей, пишут авторы исследования.

Еще один нюанс состоит в том, что большинство организаций хранят логины и пароли своих сотрудников в одном «главном файле». Этот файл хешируется, то есть специальная программа осуществляет шифрование логина и пароля, так что ни один человек в организации не может видеть пароль в незашифрованном виде, а при попытке входа в учетную запись сайт хеширует эту попытку доступа в реальном времени и определяет соответствие хешированного результата той информации, которая хранится в базе данных для конкретного логина. Но проблема в том, что «главные файлы» часто становятся предметом хищения или утечек, а с помощью специального софта и аппаратного обеспечения его можно полностью или частично дешифровать.

Эксперты Deloitte советуют пользователям (особенно организациям) никогда не хранить логины и пароли в незашифрованной форме, установить систему, отвергающую слишком простые пароли (вроде «пароль» или «123456»), а также использовать как можно более длинные комбинации символов: например, для десятизначного пароля существует в 8836 раз больше комбинаций, чем для восьмизначного, и стандартной вычислительной машине потребуется более пяти лет для его подбора.

Еще одна рекомендация Deloitte — ввести многофакторную аутентификацию пользователя, использующую для его идентификации не только логин и пароль, но и дополнительные факторы: пароль, высылаемый на зарегистрированный мобильный телефон пользователя, ключ, вставляемый в USB-разъем компьютера, тот или иной биометрический параметр (например отпечаток пальца или скан сетчатки глаза).

В последние недели было объявлено сразу о нескольких хакерских атаках на сайты крупных компаний — Twitter, Facebook, Apple, The Wall Street Journal и др. В результате, например, Twitter был вынужден поменять около 250 000 паролей, а директор по информационной безопасности этого сервиса Боб Лорд призвал пользователей впредь выбирать пароли более ответственно: желательно, чтобы комбинация содержала не менее 10 разнородных символов и была уникальной для каждой учетной записи.

Еще интересное

Сирийское правительство в очередной раз отключила доступ граждан страны к Интернету. Ранее подобная же история происходила в ноябре 2012 года.
Президент Виктор Янукович подписал закон №2836. Таким образом, обязательная регистрация баз персональных данных отменяется.
Принять участие в состязании могут хакеры любого возраста, однако финалистами могут стать только студенческие коллективы.