Почему люди выбирают простые пароли и что с этим сделать? Похоже, проблема простых паролей в том, что они везде. Напоминает переход дороги в неположенном месте в темное время. Все знают, что так нельзя, это может привести к аварии и большим проблемам, но продолжают делать так, как удобнее. Что с этим делать?
Часть 1: Вводные данные
Почему не избежать пароля Qwerty123?
Во-первых, мало сделать один сложный пароль и использовать его везде. Любой сервис, которым вы пользуетесь, обязательно взломают, данные утекут и тогда ваш сложный пароль окажется не просто в общем доступе. Он попадет в специальные базы данных паролей, которые когда-то были взломаны. Если на них посмотреть внимательно (специалисты уже, кстати, посмотрели, да), то окажется, что пароли почти у всех одинаковы. Они сформированы по единому шаблону. Например, часто пользователи к простому Qwerty добавляют 123 или дату рождения и думают, что это сложный пароль. А это не так. Почему так происходит? Пользователи так делают просто потому, что такие пароли очень легко запоминать. Поэтому даже если вы уверены, что у вас сложный пароль, с вероятностью в 99% это просто не так и простой перебор паролей со словарем быстро это опровергнет.
Часть 2: "QWERTY123"
Так может все так и оставить?
К сожалению, по данным исследования компании Positive Technologies прямо сейчас можно взломать 96% компаний. Что это означает? Буквально каждая компания находится в уязвимой зоне. А безопасность — это не результат, это процесс. Процесс непрерывного совершенствования систем защиты. По данным того же исследования в половине случаев для взлома не нужно обладать сложными техническими навыками и в 9 случаях из 10 можно подобрать пароль к корпоративной учётной записи простым перебором. Для частных лиц цифры, кстати, ещё хуже. Так что проблема паролей — это большая дыра в периметре безопасности компании.
Часть 3: Сложность на службе безопасности
Какие силы стоят за созданием паролей вроде "M5a$8Tb!", и как безжалостные IT-гении мучают сотрудников, требуя в паролях комбинации из заглавных букв, цифр, символов и, возможно, древних иероглифов.
Может быть тогда просто взять и заставить пользователя использовать спецсимволы, заглавные и строчные буквы, а затем каждые три месяца менять пароль на новый? Да, так тоже пробовали и многие компании до сих пор этого придерживаются. Только вот результата, как выяснилось, такая мера не дает. Все ровно по той же причине — пользователи просто не делают новые сложные пароли. А к текущему паролю добавляют единичку. В большинстве случаев был пароль Qwerty@1 стал Qwerty@2. И такие пароли всё равно очень легко угадать.
Часть 4: Забудь его, забудь
Советы по управлению паролями: как забыть свой пароль за 5 секунд и не сойти с ума? Что используют сотрудники на рабочем месте, чтобы не забыть пароли?
Так разве совсем ничего нельзя сделать? Может быть использовать специальную программу для хранения паролей? Да, это частично решит проблему. Например, такие бесплатные программы как KeePass, встроенные в каждый современный браузер и операционную систему (как настольную ОС, так и мобильную) вполне могут сгодиться.
Стоит также отметить, что взлом может осуществить сотрудник компании, имеющий доступ к базе с паролями, даже, если они хранятся в рекомендованном, безопасном формате.
Часть 5: А как правильно?
Что же теперь со всем этим делать? Например, компания Intel ещё в 2002 году решила ввести новый праздничный день. "Международный День Забытых Паролей". Теперь каждый год, в первый четверг мая компании и пользователи по всему миру в этот день меняют пароли на более сложные, устанавливают программы для хранения паролей и рассказывают об этом всем, до кого могут дотянуться. Что еще рекомендует индустрия в части создания безопасных паролей?
📍 Установите требования к минимальной сложности пароля и использованию словарных комбинаций
📍 Минимальная длина пароля — не менее 10 символов для обычного пользователя и не менее 12 символов для привилегированного пользователя.
📍 Используйте разные пароли для различных сервисов и исключите возможность повтора трех последних паролей.
❗️ Не пренебрегайте первым правилом цифровой гигиены — многофакторной аутентификацией (MFA) — самым простым и эффективным способом контроля доступа 👌
Вы можете не дожидаться первого четверга мая, чтобы подключить себе MULTIFACTOR — система может быть внедрена в организации буквально за один день. С помощью второго фактора она поможет справиться с проблемой простых или повторяющихся паролей — даже если пароль будет подобран или украден, злоумышленник не получит доступа к вашей системе. Позвоните по нашему телефону +7-499-444-08-82 или напишите на электронную почту sales@multifactor.ru