Пользователи менеджеров паролей придерживаются ненадежных парольных практик.
Как показало исследование студентов Калифорнийского университета в Беркли, многие пользователи менеджеров паролей продолжают по привычке придерживаться ненадежных парольных практик, что снижает эффективность менеджеров паролей как инструментов безопасности.
Преимущества использования менеджера паролей базируются на трех предположениях: пользователи способны запоминать сложные пароли, пользователи полагаются на способность менеджера паролей генерировать случайные пароли, пользователи меняют все слабые, повторно используемые или взломанные пароли на новые и более надежные. Но верны ли эти предположения? Группа старшекурсников Калифорнийского университета в Беркли под руководством профессора Стюарта Шехтера (Stuart Schechter) решила проверить, так ли это.
В исследовании, представленном на ИБ-конференции RSA, приняли участие 100 испытуемых, пользующихся менеджерами паролей более пяти месяцев, использующих как минимум пять паролей и готовых предоставить исследователям скриншоты панелей безопасности своих менеджеров паролей.
Первое, что хотели выяснить исследователи, - используют ли испытуемые надежный мастер-пароль (пароль для доступа к самому менеджеру паролей). Как оказалось, лишь немногие используют мастер-пароль, сгенерированный случайным образом менеджером паролей, который они смогли запомнить. Гораздо чаще пользователи придумывают в качестве мастер-пароля простую для запоминания мнемоническую фразу. Еще чаще пользователи выбирают уже знакомый и используемый ранее пароль. То есть, пароли к различным сервисам могут быть сгенерированы менеджером, но сам менеджер при этом может быть защищен паролем «1235678» или ему подобным.
Правильное использование, конечно, предполагает замену этих ненадежных паролей на пароли, сгенерированные менеджером. Тем не менее, как показало исследование, едва ли пятая часть тех, кто полагается на встроенный менеджер паролей Chrome, когда-либо позволяла ему генерировать пароли. Только половина опрошенных, полагающихся на сторонние утилиты, воспользовались этой функцией.
Исследователи также пытались выяснить, как испытуемые использовали (и использовали ли вообще) возможность функции панели управления безопасностью определять слабые, повторяющиеся и взломанные пароли. Результаты были обескураживающими. Даже участники, согласившиеся с тем, что инструмент правильно определяет пароли, нуждающиеся в замене, часто ничего не предпринимали. Главные причины – занятость работой и беспокойство по поводу того, что обновление пароля может вызвать проблемы.
Ладно, не доказали. Но мы работаем над этим