Ключ от всех дверей: как хакеры взламывают наши пароли

Дата:

Специалисты Ростелекома привели примеры самых распространенных ошибок и ненадежных паролей, выявленных в компаниях-заказчиках в ходе внешних и внутренних тестирований на проникновение и по результатам анализа защищенности веб-приложений.

Придумать пароль для своего аккаунта — первое, что надо сделать при выходе на новую работу. Но многие относятся к этой задаче халатно. Выбор часто делается в пользу простейших комбинаций типа «1234Qwerty» — таким «грешат» и небольшие организации, и крупные компании. В итоге корпоративные аккаунты становятся для хакеров легкой добычей и простой точкой доступа к IT-системам всей организации. Как именно это происходит и какие пароли злоумышленникам не по плечу, рассказали эксперты Solar JSOC компании «Ростелеком».

Многие пользователи уверены, что их аккаунт не может заинтересовать злоумышленников, особенно если речь идет о корпоративной «учетке». На самом деле хакера интересует абсолютно любой аккаунт, который поможет ему проникнуть во внутреннюю сеть той или иной компании, закрепиться в ней, развить атаку и впоследствии украсть конфиденциальные данные или получить контроль над IT-инфраструктурой организации.  По данным центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком», подбор учетных данных применяется в 18% атак и стоит на третьем месте по популярности среди прочих методик хакеров.

Специалисты компании привели примеры самых распространенных ошибок и ненадежных паролей, выявленных в компаниях-заказчиках в ходе внешних и внутренних тестирований на проникновение и по результатам анализа защищенности веб-приложений. Для этого эксперты-безопасники сами выступают в роли хакеров и по согласованию с заказчиком взламывают его IT-системы, чтобы определить их слабые места. Все данные собраны за 2019 и первую половину 2020 года.

Недостатки механизмов аутентификации

Наиболее распространенным недостатком в механизмах аутентификации внешних систем и приложений стало отсутствие защиты от атак подбора учетных данных.  Он был обнаружен в 46% исследуемых систем. У 21% компаний пароли не соответствовали современным требованиям по длине и набору символов. А ведь именно парольные политики не дают пользователям создавать простейшие комбинации.

Ошибки пользователей при создании паролей

К сожалению, не все проблемы по защите систем и данных решаются на стороне разработчиков и администраторов. Важную роль здесь играют сами пользователи. Проводя работы по тестированию на проникновение, эксперты «Ростелеком» часто видят:

  • Использование простых словарных паролей (например «!QAZ2wsx», «February2020»). Повторимся, что пароль может отвечать всем требованиям парольной политики, но все еще быть слабым, поскольку присутствует в публичных словарях.
  • Использование паролей по умолчанию. Учетные данные «admin:admin» пока не ушли в прошлое, хотя и звучат как шутка. При этом, как и в первом случае, такие пароли можно легко найти в специализированных словарях или документации к программному обеспечению.
  • Использование имени пользователя в качестве пароля. Несомненно, пароль, совпадающий с логином, легко запомнить. При этом он может быть длинным, со специальным символом, добавлением цифры в конец либо взамен одной из букв, но для злоумышленника это все равно выглядит так: «нашел имя пользователя — пароль в подарок».
  • Использование одного пароля для нескольких учетных записей. Именно эта ошибка позволяет злоумышленниками проводить атаки Credential Stuffing (когда для взлома аккаунта используются учетные данные, украденные ранее на других сервисах). Так что повторное использование пароля может стать для хакера универсальным ключом от всех «дверей».
  • Создание паролей по шаблону (например «SomeGoodLongPass1», «SomeGoodLongPass2» и т.д.). Использование шаблонов чаще встречается в системах, где требуется периодическая смена пароля. Эта проблема чем-то схожа с использованием одной и той же комбинации на разных ресурсах: если пароль был украден ранее, то злоумышленник сможет просто менять цифру и легко получать доступ к «учетке» пользователя.

Как действуют хакеры?

Несколько случаев, связанных с подбором паролей.

Во время одного из исследований эксперты обнаружили административный интерфейс ApacheMQ. Естественно, от посторонних глаз его защищала форма аутентификации.

— Для начала мы решили проверить пару «admin:admin», и это действительно сработало. Как можно прочитать в документации, «admin:admin» являются учетными данными по умолчанию, которые не сменили после установки.  А это значит, что, подобрав пароль от ApacheMQ, хакер мог бы легко проникнуть во внутреннюю сеть заказчика, — рассказал руководитель отдела анализа защищенности Solar JSOC компании «Ростелеком» Александр Колесов.

Если предположить, что пароль сменили бы на случайную последовательность символов той же длины («Ha?z9»), то подбор занял бы до 5 лет, а примерная скорость подбора составила бы 50 паролей/сек.

В другом проекте выяснилось, что в веб-приложении клиента не было защиты от атак с использованием подбора данных, поэтому достаточно было написать сценарий, который в автоматическом режиме начал перебирать различные комбинации.  В аккаунте использовался словарный пароль, что и привело к его компрометации. Если бы вместо этого пользователь придумал случайную комбинацию символов той же длины, что и словарный пароль, ее подбор занял бы более 17 млн лет.

Надежный пароль — какой он?

Так как же придумать пароль, который сможет защитить системы и обрабатываемые в них данные от несанкционированного доступа? Национальный институт технологий и стандартов (NIST) рекомендует использовать длинные (не менее 8 знаков) парольные фразы вместо коротких буквенно-цифровых комбинаций со специальными символами. Важно проверять, содержится ли устанавливаемый пароль в словарях или среди ранее скомпрометированных паролей. Также защиту усилит двухфакторная аутентификация, когда  пользователю надо ввести не только пароль, но и, например, одноразовый код, высланный на телефон.

Для защиты систем и данных требуются комплексные действия со стороны как разработчиков, так и пользователей. Первым следует выстраивать ИБ-защиту с учетом возможных атак подбора данных, внедрять двухфакторную аутентификацию и помогать пользователям придумывать сложные и надежные комбинации, прописывая необходимые требования в политиках безопасности. А вторым стоит использовать генераторы паролей, не ориентироваться на минимальные парольные требования и помнить, что для злоумышленников нет «неинтересных» аккаунтов — любой может попасть в фокус их внимания.

Фото предоставлено пресс-службой компании

Евгения Бондаренко: Верховный суд разъяснил, почему блокируются сделки россиян с иностранцами

Из плюсов: зарубежным правообладателям придется доказывать присутствие на территории России, чтобы предъявлять иски о контрафакте товарных знаков

0
0

Новосибирск вошел в топ-5 регионов по числу атак телефонных мошенников

Исследование, проведенное ПАО «МТС», выявило регионы России, жители которых в первой половине 2026 года чаще других становились мишенью телефонных мошенников. Согласно полученным данным, столица Сибири расположилась на четвертой позиции в этом списке. Наибольшее количество подозрительных звонков зафиксировано в Москве, составив 12% от общего числа. Краснодарский край занял второе место с показателем 5%, а Санкт-Петербург – третье с 4%.

В целом, статистика первого полугодия демонстрирует уменьшение общего количества мошеннических звонков по сравнению с январем-июнем 2025 года. Специалисты сервиса «МТС Защитник» сообщили, что с начала текущего года на территории региона было заблокировано 44 миллиона нежелательных вызовов. Это позволило жителям Новосибирской области сэкономить порядка 10 миллионов минут, что эквивалентно почти 19 годам потенциальных разговоров, которые не состоялись из-за пресечения мошеннических действий.

Читать полностью

Еще восемь тысяч новосибирцев получили доступ к улучшенному интернету

В Дзержинском районе Новосибирска компания МТС успешно завершила крупномасштабные работы по модернизации своей фиксированной сети. Благодаря проведенным техническим мероприятиям и интеграции новых жилых объектов в волоконно-оптическую магистраль, около трех тысяч семей получили доступ к улучшенному домашнему интернету. Эти преимущества стали доступны жителям домов, расположенных в отдельных частях микрорайона Авиастроителей, на улице Островского, а также на Волочаевском жилом массиве и в жилом комплексе «Менделеев». В ранее построенных зданиях устаревшее оборудование было заменено на новейшее, в то время как в новостройках инфраструктура была создана с нуля.

Директор МТС в Новосибирской области Алексей Пахомов отметил, что активно ведется работа в двух ключевых направлениях: модернизация существующей сети в старых домах и возведение новой инфраструктуры для новостроек. По его словам, это позволяет обеспечивать стабильным доступом к интернету всех абонентов.

Читать полностью

600 жителей Егорьевского получили улучшенный интернет

МТС улучшила качество покрытия мобильной связи в Новосибирской области, проведя модернизацию телекоммуникационного оборудования в селе Егорьевское Маслянинского района. Сеть LTE теперь обеспечивает стабильное соединение в школе, фельдшерско-акушерском пункте, доме культуры и магазине. Это позволит примерно 600 жителям и гостям села пользоваться улучшенным мобильным интернетом.

Мобильная связь особенно важна для Егорьевского, которое привлекает туристов, желающих увидеть процесс золотодобычи. Неподалёку находится Егорьевский прииск, где золото добывают с XIX века. История этого места началась с открытия золотой россыпи на притоках реки Суенга в октябре 1830 года.

Читать полностью

На правом берегу Новосибирска пропадает мобильный интернет

В Заельцовском районе Новосибирска и на выезде из города не работает мобильный интернет. Об этом сообщил журналист редакции Infopro54.

— Мобильный интернет не работает. Все обрублено, кроме МАХ и звонков. Еду на выезд из Новосибирска — интернета все еще нет, — рассказал корреспондент.

Читать полностью

В Ордынском районе ускорили мобильный Интернет

Компания МТС осуществила модернизацию инфраструктуры мобильной связи на территории Ордынского района Новосибирской области. В результате проведённых работ по обновлению телекоммуникационного оборудования увеличилась пропускная способность сети и повысилась средняя скорость передачи данных мобильного интернета.

Обновление телекоммуникационного оборудования провели в посёлках Чингис, Чернаково, Спиринском, Кирза, а также в административном центре района — посёлке городского типа Ордынское.

Читать полностью

Улучшенный мобильный интернет стал доступнее в Каргате

Компания МТС модернизировала телеком-инфраструктуру в Каргатском районе Новосибирской области. В городе Каргат установили новое оборудование, что привело к увеличению пропускной способности сети и ускорению мобильного интернета в ряде участков.

Благодаря усилиям связистов, жители улиц Матросова, Коммунистической и Советской теперь могут рассчитывать на более стабильное и надежное соединение.

Читать полностью

Евгения Бондаренко: Верховный суд разъяснил, почему блокируются сделки россиян с иностранцами

Из плюсов: зарубежным правообладателям придется доказывать присутствие на территории России, чтобы предъявлять иски о контрафакте товарных знаков

Баннер
Бизнес календарь
Прямым текстом

Подпишитесь на новости
Подпишитесь на рассылку самых актуальных новостей.

Выражаю согласие на обработку персональных данных, указанных при заполнении формы подписки на рассылку новостей в соответствии с Политикой конфиденциальности и Согласием на обработку персональных данных.

Я согласен (согласна)

 
×
Поиск по автору:
×
Июль 2026
Пн Вт Ср Чт Пт Сб Вс
 12345
6789101112
13141516171819
20212223242526
2728293031  
×





    Выражаю согласие на обработку персональных данных, указанных при заполнении формы «Предложить новость» в соответствии с Политикой конфиденциальности и Согласием на обработку персональных данных.
    Я согласен (согласна)

    ×

    Эксклюзивный материал

    Материалы, отмеченные значком , являются эксклюзивными, то есть подготовлены на основе информации, полученной редакцией infopro54.ru. При цитировании, перепечатке ссылка на источник обязательна

    ×

      Участие в конференции бесплатно






      Формат участия:

      [yandex_captcha yandex_captcha-816]
      Отправляя сообщение, я принимаю условия соглашения об использовании персональных данных и соглашаюсь с Правилами сайта

      ×

        Участие в конференции бесплатно








        Отправляя сообщение, я принимаю условия соглашения об использовании персональных данных и соглашаюсь с Правилами сайта

        ×
        На нашем сайте используются файлы cookie. Продолжая пользоваться сайтом, Вы подтверждаете свое согласие на использование файлов cookie в соответствии с условиями их использования
        Понятно
        Политика конфиденциальности