Паролі стали як ніколи передбачуваними. Дослідження компанії з виробництва систем IT безпеки показало, що найбільш часто використовується пароль Password1. Інші часто зустрічаються паролі: Hello123, password, Welcome1, training і password123.
Згідно зі звітом компанії Trustwave, багато звичайних користувачів та деякі IT-адміністратори помилково вважають, що використовуючи різні великі літери, малі літери, цифри і спеціальні символи в паролі, вони зроблять його більш безпечним. Швидше за все, людині буде важче вгадати ваш індивідуальний пароль, але це не ускладнює завдання для хакерів, що використовують ресурсомісткі інструменти для злому паролів. На час, який буде потрібно автоматизованому інструменту для відновлення пароля, істотно впливає тільки збільшення кількості символів в паролі.
Автоматизований засіб може зламати пароль, що складається з абсолютно випадкових восьми символів всіх чотирьох видів, наприклад, "N^a&$1nG" набагато швидше, ніж 28 символів кодової фрази, що складається тільки з великих і малих літер, наприклад "GoodLuckGuessingThisPassword". Якщо припустити, що хакер знає довжину пароля і типи використовуваних символів, використовуючи прискорювач AMD R290X GPU, він зламає такий пароль як "N^a&$1nG" приблизно за 3,75 дні. На відміну від цього, зловмисникові потрібно 17,74 років, щоб зламати "GoodLuckGuessingThisPassword", використовуючи той же графічний процесор (GPU).
Незважаючи на всі зусилля IT-адміністраторів і користувачів в забезпеченні безпеки, вони все ж створюють слабкі паролі. Політика Active Directory, що стосується складності пароля, вимагає як мінімум вісім символів і три з п'яти типи символів (малі літери, малі літери, цифри, спецсимволи і Unicode). На жаль, "Password1" відповідає цим вимогам. Часто користувач вписує ім'я своєї дитини з великої літери і з зазначенням року. Будь-яка спроба злому пароля починається з ряду передбачуваних ключових слів, які багато користувачів вибирають в якості основи для своїх паролів, кажуть в Trustwave.
Пропозиції від Trustwave
Навчіть користувачів вибирати для паролів довші фрази, замість простих, передбачуваних, легких для злому комбінацій. Для співробітників що мають доступ до мережі, упровадьте двофакторну аутентифікацію, яка зажадає від користувачів підтвердити свою особу і ввести додаткову інформацію (а не тільки ім'я користувача та пароль), наприклад, унікальний код, відправлений на мобільний телефон користувача. IT-адміністратори можуть посилити безпеку, використовуючи унікальні, випадкові рішення при хешуванні збережених паролів, тоді перед обчисленням хеша з кожним паролем комбінуються унікальні, випадкові елементи даних. Безпечне зберігання пароля в поєднанні з навчанням користувачів і правильно спроектованої політикою вибору пароля мають вирішальне значення в запобіганні порушень.
Коментар
Тойін Аделакун, віце-президент IT-компанії Sestus, що створює продукти забезпечення безпеки, каже: "Ми можемо покращувати паролі скільки завгодно, але ясно, що навіть вони самі по собі не є достатніми для захисту рахунків та інших інтернет-ресурсів. Злом пароля довжиною 16 символів різного регістру, з числами і спецсимволами (НЕ буквено-цифровий), з використанням графічних процесорів, які в мільйон разів швидші, ніж ті які використовуються в тестах Trustwave, займе близько 100 мільйонів століть. Для порівняння, пароль що складається з комбінації 12 символів верхнього регістру, нижнього регістра, цифр і спецсимволов можна буде зламати за 200 років, з GPU, які в мільйон разів швидше, ніж використовувані Trustwave.
"Про всяк випадок, наприклад, якщо деякі користувачі і зловмисники наділені безпрецедентним довголіттям, адміністратори і керівники, поряд з іншими заходами захисту, такими як шифрування і використання брандмауера, безумовно, повинні виконувати як мінімум ці дві дії:
- Дозволити використовувати паролі довжиною не менше 12 символів.
- Впровадити багатофакторну аутентифікацію".
Джерело www.professionalsecurity.co.uk. Переклад статті виконала адміністратор сайту Олена Пономаренко
