Анализ ошибок парольной защиты
Компания Positive Technologies опубликовала обзор (PDF, 1.2 Мб) распространенных ошибок реализации политики назначения паролей в корпоративных сетях российских компаний. Однофакторный способ аутентификации ("логин - пароль") до сих пор является самым простым, дешевым и наиболее распространенным методом осуществления аутентификации пользователя в большинстве информационных систем. Проанализировав 185 тысяч паролей, используемых пользователями для доступа к различным корпоративным системам, исследователи пришли к выводу, что список наиболее распространенных у отечественных пользователей паролей на 50% состоит из расположенных рядом символов (1234567, qwerty и т.д.), тогда как западные пользователи больше склонны употреблять слова английского языка (password, love и т.д.). 53% всех паролей состоят только из цифр (сколько из них номеров телефонов и дат рождения в отчете не упоминается). 74% паролей, используемых в корпоративном секторе, не соответствуют требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard). При анализе паролей администраторов информационных систем было выявлено, что администраторы в 15% случаев выбирают "словарные" пароли либо пароли, совпадающие с именем пользователя (10%), а в 2% случаев пароль отсутствует вовсе. В исследовании приведен анализ эффективности различных ограничений на используемые пароли, таких как контроль минимальной длины и сложности пароля. Так, применение стандартных ограничений к сложности пароля снижает вероятность компрометации системы более чем в 10 раз. TOP 10 наиболее часто используемых паролей Российскими пользователями:- 1234567 3,36%
- 12345678 1,65%
- 123456 1,02%
- Пустая строка 0,72%
- 12345 0,47%
- 7654321 0,31%
- qweasd 0,27%
- 123 0,25%
- qwerty 0,25%
- 123456789 0,23%
© Root.UA
