Эти 8 символов ломают компании быстрее, чем вирусы.
В новой аналитике , основанной на изучении 10 миллионов реально скомпрометированных паролей, специалисты Specops показали, насколько уязвимыми остаются корпоративные сети из-за человеческого фактора. Все пароли были взяты из списка из более чем миллиарда утечек. Результат оказался тревожным: лишь 1,5% всех проанализированных паролей могут быть отнесены к категории «надёжных».
Критерии для этого определения были строгими: надёжным считался пароль длиной от 15 символов и содержащий как минимум два разных типа символов — например, буквы и цифры. Такая длина выбрана не случайно — каждый дополнительный символ многократно увеличивает число возможных комбинаций. Например, у пароля из 15 строчных букв — 1,7 квинтильона вариантов. Добавление одного символа увеличивает количество комбинаций почти в 26 раз, а при использовании всех допустимых символов (буквы, цифры и спецзнаки) общее число вариантов достигает 2,25 октильонов. Даже мощные установки на GPU не в состоянии справиться с такой задачей в обозримом будущем.
Тепловая карта. Длина пароля vs. сложность пароля (Specops)
Тем не менее, несмотря на такие перспективы, пользователи продолжают выбирать короткие и простые комбинации. Наиболее распространённый тип пароля — это 8 символов с двумя типами символов (например, буквы и цифры), на него приходится 7,9% всех паролей. За ним следуют такие же по длине, но ещё менее надёжные — только из одного типа символов, их 7,6%. А пароли длиной до 8 символов в целом составляют подавляющее большинство и могут быть взломаны за считанные часы.
Анализ показал, что лишь 3,3% всех паролей превышали отметку в 15 символов. Это говорит о том, что политика создания паролей в организациях либо не регулируется, либо игнорируется. Между тем, увеличение длины даже на несколько символов резко увеличивает стойкость к атаке — четырёхсимвольное расширение 12-значного пароля увеличивает трудозатраты на перебор в 78 миллионов раз.
Особое внимание в исследовании уделено тенденции к недостаточной сложности. Более половины всех проанализированных паролей включали максимум два типа символов. И хотя современные рекомендации (в частности, от NIST) фокусируются больше на длине, добавление третьего или четвёртого типа символов также существенно увеличивает стойкость. Однако длина по-прежнему остаётся главным фактором: 16–20 символов дают лучшую защиту, чем короткие, пусть и сложные пароли.
Для повышения надёжности рекомендуется переходить от традиционных паролей к осмысленным фразам. Длинные, но легко запоминающиеся словосочетания вроде «SunsetCoffeeMaroonReview» куда надёжнее и удобнее, чем наборы символов вроде «!x9#A7b!». Такой подход снижает количество ошибок при вводе, обращений в техподдержку и усталость от постоянных смен паролей.
Главные угрозы, связанные с использованием слабых паролей, остаются прежними.
Выводы исследования подводят к простой истине: слабые пароли всё ещё повсеместны. Только комплексная политика, включающая контроль длины, сложности, уникальности и своевременное обновление, способна защитить корпоративную инфраструктуру от базовых атак. И, как показывает статистика, в этой области у большинства компаний ещё очень много работы.
Лечим цифровую неграмотность без побочных эффектов