Исследование ошибок парольной защиты
Компания Positive Technologies, разработчик систем мониторинга информационной безопасности, опубликовала отчет "Анализ проблем парольной защиты в российских компаниях", в котором описаны распространенные ошибки при реализации политики паролей в корпоративных сетях российских компаний.
Недостатки однофакторного способа аутентификации (логин — пароль) неоднократно описывались в научно-популярной и специализированной литературе, однако он остается самым простым, дешевым и распространенным методом аутентификации пользователя в большинстве информационных систем. В ходе тестирований на проникновение, аудитов безопасности и других работ эксперты Positive Technologies проанализировали 185 тыс. паролей, которые пользователи применяют для доступа к различным корпоративным системам.
Как показало исследование, статистика используемых российскими пользователями паролей значительно отличается от зарубежной. Российский список наиболее распространенных паролей на 50% состоит из расположенных рядом символов (1234567, qwerty и т. д.), тогда как западные пользователи больше склонны употреблять слова английского языка (password, love и т. д.).
Парадоксальные выводы были сделаны при анализе паролей администраторов информационных систем. Хотя администраторы и используют более длинные пароли, нередко они выбирают "словарные" пароли (в 15% случаев) либо совпадающие с именем пользователя (10%), а в 2% случаев пароль отсутствовал вовсе.
В отчете рассматривается проблема использования "слабых" паролей в контексте соответствия требованиям стандарта по защите информации в индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard). Согласно результатам исследования, из используемых в корпоративном секторе паролей 74% не соответствуют требованиям стандарта PCI DSS.
В исследовании приведен анализ эффективности различных ограничений на используемые пароли, таких как контроль минимальной длины и сложности пароля. Так, применение стандартных требований к сложности пароля снижает вероятность компрометации системы более чем в 10 раз.
С полной версией отчета можно ознакомиться здесь.