Повторное использование паролей - это уязвимость, которую ИТ-службам сложно полностью контролировать. Опасность часто скрывается до тех пор, пока не проявляется в виде хакеров, использующих скомпрометированные учетные данные в качестве первоначального вектора доступа.
Опрос TechRepublic показал, что 53% людей признаются в повторном использовании паролей, что является отличной новостью для хакеров - они могут украсть один пароль и попытать счастья в нескольких приложениях.
По оценкам Verizon, 86% атак начинаются с компрометации учетных данных для получения первоначального доступа. Существует несколько способов, с помощью которых конечный пользователь может передать свои учетные данные злоумышленнику: попасться на фишинговое письмо, войти в систему через незащищенную сеть, использовать устройство, зараженное вредоносным ПО, или просто выбрать высоковероятный пароль, который встречается в списке паролей.
Организация может иметь определенную внутреннюю защиту от этих сценариев, но она не имеет возможности контролировать действия злоумышленников за пределами сети.
Рассмотрим ситуацию, когда хакер взламывает сайт социальной сети или интернет-магазин и похищает базу данных с учетными данными пользователей. Даже в хэшированном виде хакер может использовать инструменты для взлома паролей и выяснить, кому они принадлежат и где работают. Другие киберпреступники готовы заплатить за эту информацию немалые деньги, поскольку знают, что существует большая вероятность повторного использования паролей.
Это и есть та самая брешь в броне политики надежных паролей. Еще дольше надежные пароли могут быть скомпрометированы за пределами вашей организации.
Сколько людей используют пароли повторно?
Трудно сказать наверняка, но данных достаточно много. Независимо от того, с какой стороны посмотреть на этот вопрос, ответ, по-видимому, будет большим.
Исследование, проведенное компанией Microsoft, показало, что 44 млн. пользователей Microsoft повторно использовали пароли в течение трех месяцев, а по данным более позднего исследования LastPass, 62% сотрудников, работающих в сфере знаний, используют один и тот же пароль или его близкую вариацию.
Почему же люди так поступают, если организации вкладывают так много средств в обучение кибербезопасности? Дело в том, что мало кто ставит перед собой цель создавать риски для своих работодателей - это просто человеческая природа.
Конечным пользователям приходится запоминать больше паролей, чем когда-либо прежде. Средняя организация использует 130 SaaS-приложений, и этот процесс не замедляется. По оценкам Bitwarden, 68% пользователей Интернета должны помнить более 10 паролей, причем 84% из этого числа признаются в повторном использовании паролей.
Это открывает широкие возможности для хакеров, хотя обычные люди склонны считать, что их никогда не взломают.
Ответственность нельзя возлагать только на конечных пользователей - организации должны сами принимать меры по защите.
Если вы хотите быстро проверить состояние Active Directory и узнать, сколько ваших конечных пользователей уже используют один из более чем 950 млн. скомпрометированных паролей, воспользуйтесь бесплатным инструментом аудита: Specops Password Auditor.
Четыре способа снижения риска взлома учетных данных
Невозможно узнать, кто из пользователей повторно использует пароли, но есть способы снизить потенциальный ущерб в случае компрометации повторно используемого пароля. Мы рекомендуем использовать комбинацию следующих четырех методов:
1. Многофакторная аутентификация (MFA)
MFA, безусловно, может помочь, поскольку после получения доступа с помощью скомпрометированного пароля злоумышленникам приходится преодолевать еще одно препятствие. Однако целеустремленный хакер может найти обходной путь для любой формы аутентификации. MFA может быть уязвима для атак типа "prompt bombing", поэтому она не является надежным средством защиты от повторного использования паролей.
2. Обучение
Обучение кибербезопасности не является чем-то новым. Организации уже давно проводят тренинги по безопасности и осведомленности, и это явно не повлияло на количество конечных пользователей, повторно использующих свои пароли. Повышение осведомленности по-прежнему имеет смысл, но организации не могут полагаться на то, что обучение окончательно изменит поведение пользователей.
3. Избавьтесь от паролей
Почему бы не отказаться от пароля совсем? Для ИТ-специалистов это может показаться мечтой, но это редко бывает осуществимо. Для большинства организаций полный отказ от паролей - сложная задача, и максимум, на что можно надеяться, - это сокращение количества используемых паролей и более пристальное внимание к привилегированным учетным записям.
4. Проверка скомпрометированных паролей
ИТ-команды не могут контролировать действия людей вне работы, поэтому крайне важно иметь инструмент для проверки того, не скомпрометированы ли пароли. Популярным вариантом является Azure AD (Entra ID), однако он проверяет пароли только при сбросе или изменении.
Это может оставить злоумышленникам достаточно времени для действий - по данным IBM, на обнаружение взлома уходит в среднем 204 дня, а на его локализацию - 73 дня. Организациям, в которых срок действия паролей никогда не истекает, особенно необходим способ проверки в режиме реального времени.
Автоматизированное и постоянное сканирование скомпрометированных паролей
В то время как средства аудита паролей могут дать лишь обзор Active Directory, Specops Password Policy с функцией Breached Password Protection обеспечивает постоянную защиту организации от постоянной угрозы взлома паролей.
Она защищает конечных пользователей от использования более 4 млрд. (и продолжает расти) уникальных известных скомпрометированных паролей, включая данные как об известных утечках, так и о паролях, используемых в реальных парольных атаках.
Хотите узнать, как Specops Password Policy может быть использована в вашей организации и поможет защитить вас от повторного использования паролей? Свяжитесь с нами, чтобы узнать больше.
Спонсор и автор - компания Specops Software.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
