Более половины интернет-пользователей в России используют пароли, которые легко поддаются подбору. Это происходит даже несмотря на рост числа кибератак.
Современные графические процессы подбирают до 70% доменных паролей всего за полчаса. Из-за этого даже сложные на первый взгляд комбинации бывают уязвимыми. Об этом рассказал руководитель департамента киберразведки компании "Бастион" Константин Ларин.
Так, 45% украденных паролей формально соответствовали требованиям к сложности, однако на практике оставались уязвимыми к автоматизированному подбору. Кроме того, порядка 10% сотрудников компаний по-прежнему применяют базовые комбинации, что значительно повышает риски для безопасности корпоративных данных.
До трети критичных киберинцидентов в российских организациях связаны с компрометацией паролей. Хакеры часто используют учетные данные привилегированных пользователей и системных администраторов — такой доступ дает им широкие возможности в инфраструктуре бизнеса.
"Сейчас сложно точно оценить совокупный ущерб от подобных инцидентов, однако он измеряется миллиардами рублей", — рассказал директор Ideco Дмитрий Хомутов.
Соблюдение требований, как правило, носит формальный характер: пользователи добавляют заглавные буквы, цифры и специальные символы, но при этом продолжают создавать пароли на основе предсказуемых шаблонов (даты, базовые слова, очевидные последовательности вроде "qwerty", "asdf" и т.д.). "Даже если пароль выглядит сложным с точки зрения политики безопасности, он может оставаться словарным — например, в виде комбинаций вроде "Zima2026!!". Такие варианты с популярными словами, датами и типовыми заменами символов давно входят в списки мошенников и успешно используются при переборе и восстановлении учетных записей", — сказал Ларин.
Вычислительные мощности только растут, поэтому на сегодняшний день защищенным от перебора считается пароль, состоящий не менее чем из 12 символов, включающих большие и маленькие буквы, цифры, спецсимволы, отметил консультант по кибербезопасности компании F6 Сергей Золотухин.
Особую опасность, добавил Ларин, представляют утечки баз данных. Даже если хранить пароли в хэшированном виде, злоумышленники все равно могут восстановить оригинальные комбинации, если они недостаточно устойчивы.
Причем переиспользование паролей часто позволяет преступникам получить доступ сразу к нескольким сервисам — от электронной почты до интернет-банкинга.
Дополнительный фактор риска — это отсутствие двухфакторной аутентификации. Вероятность успешного захвата аккаунта при ее отключении увеличивается в несколько раз. Особенно это касается случаев, когда пароль уже попадал в известные базы утечек.
Для того, чтобы повысить уровень защиты, Ларин посоветовал избегать предсказуемых сочетаний и персональных данных, отказаться от переиспользования комбинаций между сервисами, а также по возможности применять кроссплатформенные менеджеры паролей, которые автоматически генерируют и хранят надежные комбинации. Хранение паролей в браузерах, по мнению собеседника, рисково: вредоносные программы при заражении устройства могут извлекать данные из встроенных хранилищ.
По словам Золотухина, современное ПО действительно эффективно предотвращает подбор паролей. Это может быть использование антиботов при доступе к онлайн-ресурсам и такой очевидный способ, как ограничение попыток ввода пароля.
"Но даже такие простые настройки на своих ресурсах владельцы сервисов, к сожалению, часто игнорируют", — добавил собеседник.
Беспарольные методы аутентификации вроде биометрии и аппаратных токенов уже набирают популярность, однако большое количество пар логин-пароль доступны преступникам в уже слитых базах данных или в новых утечках.
"Это по-настоящему общественно опасная бомба замедленного действия, которая заложена под массовые интернет-коммуникации. К сожалению, даже самый прокачанный знаток цифровой гигиены не может защититься от этой угрозы, — подытожил Золотухин. — Действенным инструментом борьбы с подобными рисками может стать только широкое овладение специалистами навыками работы с данными киберразведки и широкое распространение систем этого класса во всех организациях, которые по-настоящему заботятся о данных клиентов".
