Печать

ТОП-10 самых распространенных паролей

Автор: Administrator вкл. . Опубликовано в Безопасность

Рейтинг:   / 4
ПлохоОтлично 
top-10_samih_rasprostranennih_paroley
    Эксперты компании Positive Technologies в ходе тестирований на проникновение, аудитов безопасности и других работ проанализировали 185 тыс. паролей, используемых пользователями для доступа к различным корпоративным системам. Полученные данные были сведены ими в отчет о том, насколько устойчивы к атакам учетные записи, защищенные при помощи паролей.

Выводы аналитиков оказались неутешительными: удаленная атака по словарям позволяет скомпрометировать 37% учетных записей, поскольку большинство пользователей продолжает выбирать самые простые комбинации букв и цифр для защиты своих компьютеров и установленных на них систем.

Так, подсчитано, что наиболее распространенными паролями у российских пользователей являются пароли, состоящие только из цифр: на их долю приходится приблизительно 53%. 88% используемых паролей – это пароли, содержащие в себе либо цифры, либо символы английского алфавита в нижнем регистре, либо и то и другое.

При этом используемые пароли российскими пользователями в большинстве случаев не превышают 8-ми символов, и лишь единицы используют пароли длиннее 12-ти символов. Вместе с тем пароли до 8-ми символов с высокой долей вероятности могут быть скомпрометированы в реальных условиях, говорят эксперты.

Российский список наиболее распространенных паролей на 50% состоит из расположенных рядом символов (1234567, qwerty) – именно такие комбинации вошли в ТОП-10 распространенных паролей.

Парадоксальные выводы были сделаны при анализе паролей администраторов информационных систем. Несмотря на использование паролей с большей длиной, администраторы в 15% случаев выбирают «словарные» пароли либо пароли, совпадающие с именем пользователя (10%), а в 2% случаев пароль отсутствует вовсе.

Еще одна отличившаяся в ходе исследования группа – женщины. Установлено, что их пароли являются несколько более уязвимыми для атакующего благодаря более частому использованию словарных паролей. Удаленному злоумышленнику в среднем требуется меньше времени на их подбор.

В отчете также рассматривается проблема использования «слабых» паролей в контексте соответствия требованиям стандарта по защите информации в индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard). По результатам исследования 74% паролей, используемых в корпоративном секторе, не соответствуют требованиям стандарта PCI DSS.

Все перечисленные факторы – длина пароля, используемый набор символов, полное или частичное совпадение пароля с именем пользователя (логином), наличие пароля в публично распространяемых словарях – имеют принципиальное значение для его безопасности и устойчивости к взлому. Подсчитано, что наложение элементарных ограничений, таких как контроль минимальной длины и сложности пароля, снижает вероятность компрометации системы более чем в 10 раз, заключил эксперт по информационной безопасности Positive Technologies Дмитрий Евтеев.

«Данные, полученные Positive Technologies, подтверждают и наблюдения аналитиков «ЛК», - комментирует Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». - Хочется добавить, что помимо риска использования простых или «предсказуемых» паролей, существует еще одна угроза - пользователи часто применяют один и тот же пароль для разных ресурсов. Ведь сегодня среднестатистический пользователь, для того чтобы быть в безопасности, должен держать в голове десятки паролей к различным онлайн-службам. Однако, желая упростить себе жизнь, многие пользователи часто начинают использовать одинаковые пароли для доступа ко всему - к почте, социальным сетям и др. А это порой приводит к тому, что пароль для доступа к какому-нибудь сомнительному ресурсу оказывается тем же самым, что и, например, код к электронному кошельку».

По мнению директора по продуктам Aladdin Антона Крячкова, исследование Positive Technologies «использует обширный набор источников и основано на «живых» данных, что особенно ценно». Однако, по его словам, обеспечение защиты корпоративной информации на базе «примитивной пары «логин - пароль» аналогично постройке кирпичного дома на пластилиновом фундаменте». «Обеспечение надёжной процедуры аутентификации в рамках информационной системы компании является первичной платформой для дополнительных защитных мер, таких как безопасный доступ к базам данных, порталам, обеспечение контроля физического доступа и доступа к приложениям», - отметил Крячков.

А теперь Топ-10:

1. 1234567
2. 12345678
3. 123456
4. Пустая строка
5. 12345
6. 7654321
7. qweasd
8. 123
9. Qwerty
10. 123456789

Добавить комментарий

Защитный код
Обновить

по теме