securitylab.ru

Наиболее распространенными паролями у российских пользователей являются цифровые пароли, на долю которых приходится около 53% от числа всех проанализированных паролей. Вторым по популярности набором используемых символов в своих паролях является набор из символов английского алфавита в нижнем регистре, на долю которого приходится до 18% от числа всех проанализированных паролей.

С небольшим отрывом за ними аналогичные предыдущему набору символов пароли, состоящие из символов английского алфавита в нижнем регистре, но с усложнением пароля за счет использования в нем цифр. На долю паролей, состоящих из символов английского алфавита в нижнем регистре и цифр, пришлось в 17% от числа всех проанализированных паролей.

Такие данные приводит Дмитрий Евтеев, эксперт по информационной безопасности отдела консалтинга и аудита компании Positive Technologies, в своем исследовании "Анализ проблем парольной защиты в российских компаниях", основные положения которого опубликованы на сайте Security Lab.

Как показывает многолетний опыт компании Positive Technologies по проведению тестирований на проникновение и аудитов информационной безопасности, зачастую, слабая парольная политика или повсеместное ее несоблюдение приводит к возможности компрометации различных участков информационной системы, и как следствие, позволяет реализовать несанкционированный доступ к информации различного уровня критичности.

Вероятность реализации различного рода угроз в информационных системах, базирующихся на однофакторной модели аутентификации с использованием парольной фразы, во многом усугубляет присутствие человеческого фактора.

Проводя параллель между данными исследований, проводимых за рубежом, и полученными результатами проведенного исследования в отношении используемых паролей российскими пользователями, Евтеев обнаружил, что результаты обоих исследований во многом расходятся.

Так, полюбившийся пароль "password" (вторая позиция наиболее распространенных паролей) зарубежному пользователю, содержится на 135-й позиции по результатам исследования паролей российских пользователей. А популярное слово в качестве пароля "pussy", которое по данным Марка Бернетта занимает пятую строчку наиболее распространенных паролей, не используется российскими пользователями вообще.

С другой стороны, пользователи российских компаний предпочитают использовать в качестве паролей наборы, расположенных рядом символов на клавиатуре, такие как 1234567, 12345678, qweasd, qwerty и т.д. Также было замечено, что в случае, когда информационная система никак не ограничивала пользователя в творческом процессе создания пароля (ограничение на длину и сложность задаваемого пароля), то пользователи с успехом использовали в качестве пароля пустые строки: пустая строка занимает четвертое место в рейтинге исследования.

До 4% от числа всех проанализированных паролей полностью совпадают с используемым логином, а около 15% содержатся в публично распространяемых словарях. Подобная ситуация в значительной степени упрощает процесс реализации несанкционированного доступа злоумышленнику, действующему удаленно.

В целом же, отмечает исследователь, 74% используемых паролей пользователями в корпоративном секторе не соответствуют требованиям стандарта по защите информации в индустрии платежных карт PCI DSS.

Данные стандарты в том, что касается паролей, требуют:

- до подключения системы к сети должны быть изменены параметры, заданные производителем по умолчанию (например, пароли, SNMP-строки), а также удалены не используемые учетные записи;

- длина паролей должна составлять не менее 7 символов;

- пароли должны содержать как цифры, так и буквы.