Проверка на компрометацию паролей в RooX UIDM
Компания RooX сообщила, что реализовала в системе управления доступом RooX UIDM технологию проверки паролей по базам словарных и утекших паролей. Это позволит компаниям банковского сектора, сферы ритейла, e-commerce и др. дополнительно обезопасить аккаунты пользователей.
По данным исследований, от 50 до 75% пользователей устанавливают простые пароли и используют повторяющиеся комбинации логина и пароля на разных сервисах. Как следствие, огромное количество взломов становится возможным за счет автоматизации перебора известных утекших паролей: например, хакеры берут базу логинов и паролей сервиса доставки и проверяют их на интернет-банке.
Новая функциональность в системе управления аутентификацией и авторизацией RooX UIDM поможет уведомить пользователя о скомпрометированном или слабом пароле и даже запретить его использование в некоторых случаях. Проверки паролей можно встроить в сценарии регистрации, аутентификации и авторизации пользователей в следующие точки: установка пароля, его восстановление или смена, вход в сервис, выполнение действия, для которого требуется дополнительная авторизация.
Кроме того, есть возможность запустить полномасштабную проверку всей базы пользователей на совпадения со словарями и скомпрометированными данными по запросу (например, после очередной новости об утечке) или по расписанию.
Как комментируют в RooX, злоумышленники регулярно выкладывают в открытый доступ базы паролей. Так, в 2021 г. был выложен файл объемом около 100 Гбайт, содержащий 8,4 млрд паролей. Сообщество специалистов по ИБ регулярно проводит мониторинг утечек и добавляет данные из них в специализированные базы, которые RooX UIDM использует для проверок паролей. Кроме того, клиенты могут подключать для проверок свои собственные базы «плохих» паролей.
Насколько жесткой будет реакция системы при обнаружении скомпрометированного пароля, определяется настройками. Система может просто уведомить пользователя о том, что пароль перестал быть надежным, предоставить возможность сразу его сменить или даже запретить выполняемое действие, пока пароль не будет сменен на безопасный.