Пароли стали как никогда предсказуемыми. Исследование компании по производству систем IT безопасности показало, что наиболее часто используется пароль Password1. Другие часто встречающиеся пароли: Hello123, password, Welcome1, training и password123.
Согласно отчету компании Trustwave, многие обычные пользователи и некоторые IT-администраторы ошибочно полагают, что, используя различные заглавные буквы, строчные буквы, цифры и специальные символы в пароле, они сделают его более безопасным. Скорее всего, человеку будет труднее угадать ваш индивидуальный пароль, но это не усложняет задачу для хакеров, использующих ресурсоемкие инструменты для взлома паролей. На время, которое потребуется автоматизированному инструменту для восстановления пароля, существенно влияет только увеличение количества символов в пароле.
Автоматизированное средство может взломать пароль, состоящий из совершенно случайных восьми символов всех четырех видов, например, “N^a&$1nG” гораздо быстрее, чем 28 символов кодовой фразы, состоящей только из прописных и строчных букв, например "GoodLuckGuessingThisPassword". Если предположить, что хакер знает длину пароля и типы используемых символов, используя ускоритель AMD R290X GPU, он взломает такой пароль как “N^a&$1nG” примерно за 3,75 дня. В отличие от этого, злоумышленнику потребуется 17,74 лет, чтобы взломать "GoodLuckGuessingThisPassword", используя тот же графический процессор (GPU).
Несмотря на все усилия IT-администраторов и пользователей в обеспечении безопасности, они все же создают слабые пароли. Политика Active Directory, касающаяся сложности пароля, требует как минимум восемь символов и три из пяти типа символов (строчные буквы, прописные буквы, цифры, спецсимволы и Unicode). К сожалению, "Password1" соответствует этим требованиям. Часто пользователь вписывает имя своего ребенка с заглавной буквы и с указанием года. Любая попытка взлома пароля начинается с ряда предсказуемых ключевых слов, которые многие пользователи выбирают в качестве основы для своих паролей, говорят в Trustwave.
Предложения от Trustwave
Научите пользователей выбирать для паролей более длинные фразы, вместо простых, предсказуемым, простых для взлома комбинаций. Для сотрудников, имеющих доступ к сети, внедрите двухфакторную аутентификацию, которая потребует от пользователей подтвердить свою личность и ввести дополнительную информацию (а не только имя пользователя и пароль), например, уникальный код, отправленный на мобильный телефон пользователя. IT-администраторы могут усилить безопасность, используя уникальные, случайные решения при хэшировании сохраненных паролей, тогда перед вычислением хэша с каждым паролем комбинируются уникальные, случайные элементы данных. Безопасное хранение пароля в сочетании с обучением пользователей и правильно спроектированной политикой выбора пароля имеют решающее значение в предотвращении нарушений.
Комментарий
Тойин Аделакун, вице-президент IT-компании Sestus, создающей продукты обеспечения безопасности, говорит: "Мы можем улучшать пароли сколько угодно, но ясно, что даже они сами по себе не являются достаточными для защиты счетов и других интернет-ресурсов. Взлом пароля длиной 16 символов различного регистра, с числами и спецсимволами (не буквенно-цифровой), с использованием графических процессоров, которые в миллион раз быстрее, чем те, которые используются в тестах Trustwave, займет около 100 миллионов столетий. Для сравнения, пароль, состоящий из комбинации 12 символов верхнего регистра, нижнего регистра, цифр и спецсимволов можно будет взломать за 200 лет, с GPU, которые в миллион раз быстрее, чем используемые Trustwave.
“На всякий случай, например, если некоторые пользователи и злоумышленники наделены беспрецедентным долголетием, администраторы и руководители, наряду с другими мерами защиты, такими как шифрование и использование межсетевого экрана, безусловно, должны выполнять как минимум эти два действия:
- Разрешить использовать пароли длиной не менее 12 символов.
- Внедрить многофакторную аутентификацию”.
Источник www.professionalsecurity.co.uk. Перевод статьи выполнила администратор сайта Елена Пономаренко