Корпоративная безопасность на грани провала

Исходя из статистических данных и личного наблюдения, я пришел к выводу, что в большинстве корпоративных вычислительных сетей (КВС) одним из слабых звеньев, является парольная политика и политика безопасности в целом. И это может привести к утечке информации, важность которой может быть критична.

Вероятность атаки на КВС, где используется аутентификация исключительно по паролю, повышает человеческий фактор. Также статистика показывает, что пользователи, в основном выбирают простые цифровые пароли длинной от шести до восьми символов. Это и понятно: даты рождений в формате ddmmyy или ddmmyyyy и номера телефонов. Также используются в качестве паролей простые последовательности, вроде 12345 и т.д.
Вот список наиболее типичных паролей для Российского сегмента: 1234567, 12345678,123456, 12345, 7654321, qweasd, 123, qwerty, 123456789. Общая доля конкретно этих паролей приближается к 9% от общей массы. А 9% это много. Учитывая, что большинству пользователей сложно запомнить даже имя своего ящика на mail.ru, то, что уж тут говорить об устойчивой защите паролем.
Однако стоит отметить еще и тот фактор, что в зависимости от национальности пользователей, слабые пароли меняются в соответствии с географическим местоположением пользователя. Так, например, в Соединенных штатах привыкли использовать слово “пароль” (password) и pussy, для своих паролей. И в рейтинге эти слова занимают достаточно высокие позиции. Однако в России эти пароли почти не используются, а предпочитают размещение близлежащих символов на клавиатуре. Например “zxcvb” или 12345.
Стоит ли вводить ограничения на используемый пароль? Без всяких сомнений – да. Если таких ограничений нет, то, скорее всего, сидящий за компьютером просто нажмет enter, оставив пароль пустым. (Скажите, Вы часто встречали на домашних компьютерах с Windows98 или XP запароленные аккаунты пользователей?) Так вот по привычке пользователям проще вовсе не использовать пароль.
К чему это может привести показал наглядно вирус NetWorm.Win32.KiDo, который содержал наиболее используемые пароли для перебора с логином администратора.

показыть скрытый текст

Статистика по используемым наборам символов в паролях такова, что на первом месте идут только цифры, далее символы английского алфавита в нижнем регистре, символы английского алфавита в нижнем регистре и цифры, символы английского алфавита в разных регистрах и цифры, символы английского алфавита в разных регистрах, символы английского алфавита в верхнем регистре и цифры, символы русского алфавита в нижнем регистре.
Самыми популярными паролями являются числовые. Стоит также отметить, что перебор таких паролей достаточно прост и займет у неподготовленного человека всего несколько минут. (Естественно зависит от длинны)
У российских пользователей пароли в большинстве случаев не превышают 8-ми символов. И в реальных условиях легко скомпрометировать систему в этом случае. Также в 15% пароли совпадает с записями в публичных словарях, что также позволяет узнать их методом перебора. Существует также еще один показатель колеблющейся на отметке в 5%, который говорит о том, что пароль частично или полностью совпадает с именем пользователя. Подобная ситуация в значительной степени упрощает процесс реализации несанкционированного доступа злоумышленнику, действующему удаленно.
Практика утверждает, что при переборе по словарю, процент удачного подбора пароля снижается от 100% до 5% при количестве символов от 0 до 10. Это говорит о том, что использование стандартной политики паролей в Windows, в значительной степени затрудняет успешный подбор паролей по словарю.
Говоря о «слабых» паролях в соответствии с требованиями стандарта по защите информации платежных карт PCI DSS, можно говорить о том, что 80% используемых паролей пользователями в корпоративном секторе не соответствуют требованиям.
Какие можно сделать выводы?

  • бОльшая часть паролей используемый отечественными пользователями не превышает 8 символов, состоит из цифр или цифр и букв латинского алфавита и не соответствует требованиям политик безопасности;
  • пароли, выбираемые нашими соотечественниками отличаются от паролей зарубежных пользователей, но это ситуацию не меняет;
  • зажита состоящая из, только, парольной аутентификации не является препятствием для злоумышленника;
  • важно учитывать человеческий фактор при составлении политик безопасности в КВС;

Leave a comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.