Простота пароля может стать источником серьезных неприятностей
Список самых наихудших паролей 2011 г. обнародовал на днях разработчик приложений для защиты данных SplashData.
Исследование сделано на основе размещенных в сети данных о взломанных хакерами аккаунтах. Выяснилось, что многие люди совершенно не обеспокоены безопасностью своих почтовых ящиков или аккаунтов в социальных сетях. Они придумывают простые комбинации из букв и цифр, которые несложно запомнить. Но просто и взломать.
Самым простейшим паролем является, как это ни забавно, “password”. На втором и третьем местах — числовые пароли “123456” и “12345678”. Далее следует “qwerty” — первые 6 букв верхнего ряда клавиатуры и комбинация “abc132”. Кроме того, часто встречаются “iloveyou”, “master”, “superman” и “football”.
Как показывает статистика Кембриджского университета, более половины инцидентов со взломом систем безопасности 2010 г. произошло из-за использования слишком простых паролей, а также возможности подбирать его неограниченное количество раз. Кроме того, специалисты выяснили, что около 84% крупных порталов, включая Amazon, eBay и WordPress, не ограничивает число неудачных попыток авторизации.
Гендиректор компании SplashData Морган Слэйн считает, что хакеры могут взломать большое количество учетных записей просто подбирая пароли. “Несмотря на то, что людям рекомендуют выбирать надежные, сложные пароли, многие по-прежнему предпочитают простые — те, которые легко угадать”, — замечает гендиректор SplashData Морган Слэйн.
Некоторые из паролей, опубликованных в списке SplashData, такие как, например, “letmein”, “123123” и “111111”, были изначально заложены в тело червя Морто. Согласно сообщению, опубликованному в блоге компании F-Secure, этот червь был обнаружен в августе 2010-го, а в качестве среды распространения использовал протокол службы удаленного рабочего стола RDP (Windows Remote Desktop Protocol). Червь инфицировал компьютер, после чего начинал поиск других компьютеров с запущенной службой RDP и установку соединения с ними. В случае успеха зловред пытался авторизироваться.
Нелишним будет вспомнить о крупной утечке пользовательских данных, случившейся в прошлом году у компании Gawker Media, которой принадлежат такие популярные ресурсы, как Gawker и Gizmodo.
В результате утечки злоумышленники получили доступ к аккаунтам более чем 1,3 млн. человек. Об утечке стало известно после того, как представители Gawker Media объявили пользователям о необходимости изменения паролей к их профилям. Согласно публикациям в СМИ, хакерам удалось получить в свои руки части кода системы управления контентом, которая применялась на всех сайтах Gawker Media. Благодаря этому они смогли взломать базу данных.
Такие компании, как Twitter, Google и Yahoo оценили потенциальную опасность данной утечки и начали изменять пароли некоторых своих пользователей, сообщая им об этом. “Данная утечка демонстрирует нам одну из фундаментальных проблем с паролями в Сети — пользователи используют их для авторизации на множестве сайтов сразу”, — отметил Джефф Берстайн, представитель компании Symantec.
В подтверждение этих слов, пароли к аккаунтам начала заменять социальная сеть LinkedIn, а также ряд менее массовых веб-сервисов. Поскольку взломанная база данных долгое время находилась в свободном доступе в Сети, представители интернет-сервисов имели возможность сравнить логины и пароли ресурсов Gawker Media с аккаунтами на собственных сайтах, предупредив тех пользователей, данные которых оказались в обеих базах.
Главная опасность, по словам экспертов, состоит в том, что многие пользователи вполне могли применять скомпрометированные логины и пароли на других ресурсах в Сети — это обычная практика для большинства людей. Из-за этого существует опасность, что хакеры получат доступ к аккаунтам этих пользователей на многих сайтах, включая, вполне вероятно, интернет-банкинг и электронную почту.
Эксперты в области информационной безопасности предупреждают пользователей о том, что не стоит использовать одну и ту же пару “логин – пароль” для нескольких разных сайтов. В частности, Кэрол Зериот, старший технический консультант компании Sophos, занимающейся компьютерной безопасностью, отмечает, что из-за такого подхода становится очень просто взломать аккаунты социальных сетей и почтовых серверов. Она пояснила, что пользователи любят простые комбинации, потому что они путаются в паролях и плохо их запоминают. “Это позволяет хакерам контролировать различные аккаунты одного человека. Особенно легко это сделать, когда пользователь использует комбинацию чисел”, — рассказала Зериот. По ее словам, для создания качественного пароля нужно использовать буквы верхнего и нижнего регистра. Пароль при этом не должен быть меньше 7–8 знаков.
Патрик Хардинг, технический директор Ping Identity рекомендует решительный шаг — устранение паролей для пользователей, потому что количество сайтов в Сети растет в геометрической прогрессии и с ними растет количество требуемых для запоминания кодов и паролей. “Все хотят, чтобы уменьшилось количество авторизаций”, — поделился своим мнением Хардинг с eWeek. Также, он предлагает использовать сторонние службы аутентификации, например учетные данные пользователей сервисов Google или Facebook для авторизации на других ресурсах Сети.
Как альтернативный вариант, Хардинг предлагает обезопасить политику аутентификации сразу для множества сайтов посредством Security Assertion Markup Language (SAML) или OpenID. Цель заключается в сокращении числа интернет-ресурсов, которые требуют проверки подлинности, но взамен предлагается “ужесточение пользовательской дисциплины” — использование сложных логинов и паролей.
Последнее слово в защите корпоративных пользователей предоставляет платформа OKTA, которая вышла из этапа бета-тестирования в этом году, и обеспечивает единый вход для приложений в облаке. В данную платформу изначально интегрирована система многофакторной аутентификации для защиты облачных, а также внутрикорпоративных приложений.
Тодд Маккиннон, генеральный директор и соучредитель OKTA, рассказал eWeek, что компании все чаще пользуются облачными приложениями, но просто полагаться только на пароли для защиты своих данных уже будет недостаточно.
OKTA — это каталог из более чем 1000 крупнейших веб- и облачных приложений, используемых компаниями, в том числе Salesforce.com, LinkedIn, Facebook, PayPal, Twitter и др. Клиенты отмечают нужные им приложения, к которым они хотят применять единый вход доступа, и OKTA реализует единый интерфейс для всех из них. Учетные записи пользователей могут импортироваться и управляться из широкого ряда приложений, включая Salesforce.com и Google Apps.
Стимулом для создания облачной службы безопасности Symantec O3, как рассказал eWeek Кен Шнайдер, вице-президент Symantec по стратегическому развитию технологий, послужила все большая мобильность сотрудников, а это означает возможность доступа к корпоративным данным и за пределами офиса в том числе и с помощью персональных устройств.
Но хотя объем хранимых данных в облаках продолжает расти, недавние исследования показали, что даже существенное снижение затрат и упрощение процедуры переноса приложений в облако не произвело сдвига в сознании корпоративных пользователей — они боятся переносить критически важные приложения в облако, опасаясь потерять контроль над своими данными.
Облачная служба безопасности Symantec O3, по мнению Шнайдера, позволит клиентам не изменять механизмы аутентификации (будь-то одиночные пароли или даже мощные механизмы двухфакторной аутентификации), так как они будут интегрированы в О3 по умолчанию. Компании получат контроль над уровнем доступа в облако посредством предоставления им ссылок от О3 для доступа ко всем облачным сервисам и уполномоченным устройствам.
Теперь управлять пользовательской инфраструктурой смогут не только системные администраторы, но и менеджеры, которые также смогут управлять правами доступа. Даже при частичном выходе из строя корпоративной инфраструктуры, например при поломке рабочего телефона, сотрудник сможет использовать личный не опасаясь утечки корпоративных секретов, заметил Шнайдер.