Первый ежегодный отчет Specops Software о слабых паролях дал некоторые интересные результаты, которые могут заставить вас переосмыслить то, как ваша организация управляет паролями.
1. Длина пароля не гарантирует его безопасность
Одна из наиболее давних рекомендаций по использованию паролей — это идея о том, что длина пароля должна быть не менее восьми символов. Эта благонамеренная передовая практика основана на идее о том, что для взлома более длинных паролей требуется больше вычислительных ресурсов.
Эта идея была отражена в Отчете о слабых паролях за 2022 год, в котором было обнаружено, что 93% паролей, которые использовались в атаках методом грубой силы, включали не менее восьми символов. Точно так же 41% паролей, используемых в реальных атаках, состоят из двенадцати и более символов. Эти статистические данные подчеркивают, что даже длинные пароли могут быть украдены.
2. Пароль часто зависит от сезона или поп-культуры
Отчет о слабых паролях показал, что пароли часто бывают сезонными и что на пароли также часто влияет поп-культура. Например, 42% сезонных паролей содержали слово «лето».
И не только сезоны года влияют на использование паролей. Известные города Los Angeles Angels, Tampa Bay Rays, New York Mets и Minnesota Twins также часто встречаются в списках утекших паролей.
Конечно, в паролях упоминались не только названия фильмов, но и любимые персонажи из этих фильмов. Это было особенно верно для фильмов «Звездные войны» и для различных фильмов о супергероях, которым, как известно, посвящены фандомы.
3. Сложность пароля не предотвращает кражу учетных данных
Еще одна давняя передовая практика — требовать сложности пароля. Организации может, например, потребоваться сочетание символов верхнего и нижнего регистра, цифр и символов. Тем не менее отчет показал, что 68% паролей, используемых в реальных атаках, включали как минимум два разных типа символов. Произошла утечка более 20 миллионов паролей, которые включали прописные и строчные буквы и цифры, а более 1,5 миллиона утекших паролей включали прописные и строчные буквы, цифры и специальные символы.
Тот факт, что утекших паролей, содержащих только прописные и строчные буквы и цифры, было более чем в 13 раз больше, чем комбинаций прописных и строчных букв, цифр и символов, может изначально свидетельствовать о сложности, хотя и не свидетельствует о безопасности пароля.
4. Перегрузка паролей — большая проблема
В отчете также отмечается, что повторное использование пароля является серьезной проблемой. Specops недавно опросила более 2000 пользователей, чтобы выяснить, какую роль играют пароли в их повседневной жизни.
48% респондентов опроса указали, что у них есть 11 и более паролей, которые они должны помнить для работы. 71% сказали, что им нужно запомнить 11 или более паролей для личного использования. Опрос показал, что 361 из этих респондентов признались, что использовали один и тот же или похожий пароль в нескольких системах.
5. Организации могли бы сделать гораздо больше для обеспечения безопасности паролей
Тот простой факт, что существует утечка базы данных паролей, содержащая миллионы паролей, которые соответствуют давно установившимся передовым методам, ясно демонстрирует необходимость того, чтобы организации делали больше для обеспечения безопасности своих паролей. Тем не менее, отчет показал, что 54% организаций не имеют инструмента для управления рабочими паролями. Кроме того, 48% организаций не имеют механизма проверки личности пользователя для своей службы поддержки, что подвергает службу поддержки рискам социальной инженерии.
