Изображение: grok
Управление паролями в крупных организациях редко соответствует рекомендациям Microsoft или CIS. Поэтому компрометация учетных данных остается одним из самых дешевых и быстрых способов проникновения в корпоративную сеть. Специалисты BI.ZONE TDR проанализировали данные более чем 150 организаций и выявили ключевые ошибки конфигурации, связанные с парольной политикой.
В некоторых компаниях в парольную политику может входить требование о регулярной смене пароля. В таком случае мисконфигурацией будет считаться слишком длинный срок действия пароля, в том числе установка опции PasswordNeverExpires («никогда не истекает»), особенно для сервисных и привилегированных аккаунтов. По данным BI.ZONE TDR, в 34% организаций обнаружено более 1000 учетных записей (УЗ) с этим атрибутом, и лишь в 8% — менее 50. Это приводит к тому, что пароли не меняются годами, а иногда и десятилетиями. В среднем, 22% УЗ в домене имеют этот атрибут. При этом, хотя большинство паролей обновляется в течение трех месяцев, 19% аккаунтов имеют пароли старше одного года, а почти 2% аккаунтов используют пароли старше 10 лет.
Слабые пароли также остаются в списке популярных ошибок конфигурации. Для 2% локальных УЗ применяются легко подбираемые комбинации, а для доменных этот показатель достигает в среднем 5%. Кроме того, статистика BI.ZONE Digital Risk Protection показывает, что каждая 15-я корпоративная УЗ хотя бы один раз оказывалась в утечках. В сочетании с недостатками парольной политики (отсутствие требований к длине, сложности, уникальности) это формирует ситуацию, когда базовые механизмы защиты могут быть скомпрометированы с минимальными усилиями.
Несмотря на развитие политик безопасности и существующие стандарты (CIS, Microsoft Baseline, NIST), в корпоративных сетях до сих пор встречаются короткие комбинации с минимальной сложностью (123456, Qwerty123, 1qaz@WSX), сезонные вариации (Summer2024, Password2025) и личные или связанные с компанией данные: даты рождения, телефонные номера, названия организаций (например, CompanySun1!).
Подобные пароли используются в доменных и локальных УЗ, включая привилегированные аккаунты администраторов и сервисные УЗ. Даже если формально пароль соответствует минимальным требованиям, он может быть скомпрометирован за считаные минуты с помощью атак password spraying или словарного перебора.
Андрей Шаляпин, руководитель BI.ZONE TDR: «Требования к паролям во многих случаях устарели. Например, минимальная длина в 8 символов уже не обеспечивают достаточного уровня защиты. В 2026 году базовым ориентиром становится длина не менее 12–14 символов в сочетании с использованием различных типов символов. Без внедрения современных политик и проверки на наличие пароля в утекших базах пользователи продолжают выбирать комбинации, которые легко взламываются. Таким образом, компрометация учетных данных остается одним из самых простых сценариев для злоумышленника».
Дополнительные риски создают неиспользуемые УЗ. Аккаунты уволенных сотрудников, временных подрядчиков, тестовые и устаревшие сервисные записи могут оставаться активными месяцами и даже годами. По данным BI.ZONE TDR, около 5% доменных УЗ не использовались более трех лет. Такие аккаунты сохраняют доступ к ресурсам, включая критически важные системы, и зачастую имеют слабые неизменяемые пароли. Их существование — следствие отсутствия регулярного аудита, несовершенных процессов деактивации (например, при увольнении) и накопления легаси-данных в инфраструктуре.
Отдельной проблемой остается повторное использование паролей. По данным BI.ZONE TDR, в среднем около 19% УЗ имеют пароли, совпадающие с паролями других пользователей внутри компании. В одном из случаев этот показатель достигал 43%. Часто это связано с тем, что сотрудники не меняют стандартные пароли после трудоустройства. В результате компрометация одного аккаунта может открыть доступ к значительной части инфраструктуры.
Аналогичная практика встречается и среди привилегированных УЗ. Несмотря на то что для работы с критическими системами обычно создаются отдельные аккаунты, администраторы нередко используют для них те же пароли, что и для пользовательских УЗ. По оценке BI.ZONE PAM, 30–40% привилегированных УЗ используют одинаковые пароли в разных системах. С учетом их широких прав доступа это существенно увеличивает масштаб потенциального ущерба: компрометация одного аккаунта может привести к быстрому распространению атаки внутри инфраструктуры.
Оригинал публикации на сайте CISOCLUB: "Около 20% аккаунтов внутри компании имеют одинаковые пароли".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.