Слабые уводят, сильные остаются...
Исследования зарубежных и российских компаний, специализирующихся на оказании услуг информационной безопасности, регулярно предупреждают владельцев сайтов о том, что интернет становится все более небезопасной средой. Растущее число веб-атак и увеличивающаяся активность хакерского сообщества накладывают определенные требования к работе в новом информационном пространстве.
Однако, пока представители киберсекьюрити все больше рассуждают о высоких технологиях и проактивных методах защиты, оказывается, что многие веб-администраторы, работающие с доступами к различного рода данным, пренебрегают такими простыми и элементарными правилами безопасности, как использование надежных паролей. Зачастую ненадежный пароль становится тем самым «слабым звеном», из-за которого взламываются и компрометируются корпоративные системы. По , более четверти инцидентов, связанных с безопасностью, произошли в результате использования администраторами систем слабых паролей. Trustwave проанализировала 574 случаев взлома, зафиксированных в 15 странах. Оказалось, что 28% несанкционированных вторжений стали возможны из-за уязвимых паролей.
Россия в этот список не вошла, но данная тема Рунету знакома. Опираясь на собственный опыт работы в сфере информационной безопасности – оказывая услуги – мы вынуждены признать, что проблема слабых паролей для входа в системы администрирования сайтов и аккаунтов хостинга имеет место быть, и на сегодняшний день является весьма актуальной.
Во всем виновато шаблонное мышление
Вспомним знакомый многим тест. Не думая, назовите первое, что придет в голову из категорий:
1) фрукт,
2) часть лица,
3) русский поэт,
4) цветок,
5) страна.
Это «яблоко», «нос», «Пушкин», «роза» и «Россия»? В большинстве случаев стандартные ответы россиян будут именно такими. Речь идет о предсказуемости мышления человека. Когда система «просит» пользователя придумать пароль при создании аккаунта или регистрации на сайте, то человек очень часто мыслит шаблонно, вбивая в поле «пароль» вполне стандартные, распространенные слова или комбинации. Именно на шаблонность человеческого мышления и делают ставку злоумышленники, когда пытаются «угадать» пароли пользователей от самых разных веб-служб. Делается это, конечно, не вручную, а с помощью специальных программ, которые за секунды перебирают тысячи комбинаций, генерирующихся с учетом известных критериев, которыми руководствуются пользователи при создании паролей. При этом программы легко вычисляют пароли, состоящие как из одного слова, так и наиболее популярные комбинации слов и цифр.
Компания WP Engine , в котором проанализировала базу из 10 млн скомпрометированных паролей, созданных самой разношерстной публикой интернета – от генеральных директоров до ученых. Результаты анализа оказались весьма любопытны – приводим некоторые из них.
Наиболее популярными паролями оказались очень простые слова и цифровые комбинации....
