Придумать пароль для своего аккаунта — первое, что надо сделать при выходе на новую работу. Но многие относятся к этой задаче халатно. Выбор часто делается в пользу простейших комбинаций типа «1234Qwerty» — таким «грешат» и небольшие организации, и крупные компании. В итоге корпоративные аккаунты становятся для хакеров легкой добычей и простой точкой доступа к IT-системам всей организации. Как именно это происходит и какие пароли злоумышленникам не по плечу, рассказали эксперты Solar JSOC компании «Ростелеком».
Многие пользователи уверены, что их аккаунт не может заинтересовать злоумышленников, особенно если речь идет о корпоративной «учетке». На самом деле хакера интересует абсолютно любой аккаунт, который поможет ему проникнуть во внутреннюю сеть той или иной компании, закрепиться в ней, развить атаку и впоследствии украсть конфиденциальные данные или получить контроль над IT-инфраструктурой организации. По данным центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком», подбор учетных данных применяется в 18% атак и стоит на третьем месте по популярности среди прочих методик хакеров.
Специалисты компании привели примеры самых распространенных ошибок и ненадежных паролей, выявленных в компаниях-заказчиках в ходе внешних и внутренних тестирований на проникновение и по результатам анализа защищенности веб-приложений. Для этого эксперты-безопасники сами выступают в роли хакеров и по согласованию с заказчиком взламывают его IT-системы, чтобы определить их слабые места. Все данные собраны за 2019 и первую половину 2020 года.
Наиболее распространенным недостатком в механизмах аутентификации внешних систем и приложений стало отсутствие защиты от атак подбора учетных данных. Он был обнаружен в 46% исследуемых систем. У 21% компаний пароли не соответствовали современным требованиям по длине и набору символов. А ведь именно парольные политики не дают пользователям создавать простейшие комбинации.
Несколько случаев, связанных с подбором паролей.
Во время одного из исследований эксперты обнаружили административный интерфейс ApacheMQ. Естественно, от посторонних глаз его защищала форма аутентификации.
— Для начала мы решили проверить пару «admin:admin», и это действительно сработало. Как можно прочитать в документации, «admin:admin» являются учетными данными по умолчанию, которые не сменили после установки. А это значит, что, подобрав пароль от ApacheMQ, хакер мог бы легко проникнуть во внутреннюю сеть заказчика, — рассказал руководитель отдела анализа защищенности Solar JSOC компании «Ростелеком» Александр Колесов.
Если предположить, что пароль сменили бы на случайную последовательность символов той же длины («Ha?z9»), то подбор занял бы до 5 лет, а примерная скорость подбора составила бы 50 паролей/сек.
В другом проекте выяснилось, что в веб-приложении клиента не было защиты от атак с использованием подбора данных, поэтому достаточно было написать сценарий, который в автоматическом режиме начал перебирать различные комбинации. В аккаунте использовался словарный пароль, что и привело к его компрометации. Если бы вместо этого пользователь придумал случайную комбинацию символов той же длины, что и словарный пароль, ее подбор занял бы более 17 млн лет.
Так как же придумать пароль, который сможет защитить системы и обрабатываемые в них данные от несанкционированного доступа? Национальный институт технологий и стандартов (NIST) рекомендует использовать длинные (не менее 8 знаков) парольные фразы вместо коротких буквенно-цифровых комбинаций со специальными символами. Важно проверять, содержится ли устанавливаемый пароль в словарях или среди ранее скомпрометированных паролей. Также защиту усилит двухфакторная аутентификация, когда пользователю надо ввести не только пароль, но и, например, одноразовый код, высланный на телефон.
Для защиты систем и данных требуются комплексные действия со стороны как разработчиков, так и пользователей. Первым следует выстраивать ИБ-защиту с учетом возможных атак подбора данных, внедрять двухфакторную аутентификацию и помогать пользователям придумывать сложные и надежные комбинации, прописывая необходимые требования в политиках безопасности. А вторым стоит использовать генераторы паролей, не ориентироваться на минимальные парольные требования и помнить, что для злоумышленников нет «неинтересных» аккаунтов — любой может попасть в фокус их внимания.
Фото предоставлено пресс-службой компании
Предпринимателям предложат принять участие в проектах по обустройству трасс и популярных мест отдыха
Она требовала за снятие порчи 9 тысяч рублей
На данный момент в регионе для участников Спецоперации действует около 40 различных мер поддержки
За взятки и отмывание денег экс-главу кузбасского Госстройнадзора приговорили к 18 годам колонии
Полностью стабилизировать систему не удалось до сих пор
В 2025 году прогнозируется рост спроса на паевые инвестиционные фонды