Всемирный день пароля: когда им придет конец и как дать отпор брутфорсу

Всемирный день пароля: когда им придет конец и как дать отпор брутфорсу

Вчера отмечался Всемирный день пароля, поэтому мы решили раскрыть эту спорную тему. В последние годы темпы перехода российских организаций на беспарольную аутентификацию заметно ускорились. Однако для полной безопасности им требуется предпринять ряд дополнительных мер.

 

 

 

 

 

 

  1. Почему на пароли больше нельзя надеяться
  2. Когда пароли станут непопулярны
  3. Что придет на замену паролям
  4. С какими рисками придется столкнуться

Почему на пароли больше нельзя надеяться

По данным «Лаборатории Касперского», от атак хакеров, направленных на кражу паролей и логинов, в 2022 году пострадали 150 тысяч россиян. Для нападений они использовали разнообразные трояны, чаще всего — RedLine.

Достигнуть успеха злоумышленникам сегодня по-прежнему легко — простые пароли можно встретить довольно часто. Об этом, к примеру, говорят результаты исследования специалиста по анализу больших данных и эксперта в области информационной безопасности Ата Хакчил. Изучив 170 млн учетных данных, утекших в сеть, он обнаружил 7 млн одинаковых паролей «123456». Следующими по популярности были «123456789», «password», «qwerty», «12345678».

По информации Trustwave, простые пароли стали причиной как минимум 140 из 500 инцидентов, произошедших в 15 странах в 2022 году. Взлом пароля длиной восемь и меньше символов в среднем занимал у хакеров не больше суток. Узнать пароли хакерам зачастую помогают атаки типа «брутфорс».

«Они предполагают перебор возможных вариантов пароля. Эта операция не требует от хакеров больших усилий, необходимые автоматизированные утилиты можно легко найти в открытом доступе, поэтому количество атак этого типа активно растет», — поясняет руководитель Центра предотвращения киберугроз CyberART Innostage Антон Кузьмин.

По данным Hive Systems, подбор пароля из семи символов хакеры производят мгновенно, из девяти прописных букв — за три секунды. Чтобы подобрать пароль из восьми букв, строчных и прописных, им требуется 28 секунд. Пароль из девяти знаков — цифр, строчных и прописных букв, они подберут за 2 часа. На подбор пароля из 10 знаков, состоящего в частности из символов, у них уйдет 2 недели.

Все это особенно опасно, учитывая, что разработчики софта тоже не всегда соблюдают основные правила безопасности. Так, в прошлом месяце стало известно, что каждое десятое приложение для Android хранит пароли в открытом виде.

Когда пароли станут непопулярны

В связи с рисками, которые влечет за собой использование паролей, организации постепенно отказываются от него в пользу других методов аутентификации. Этот процесс начал активно развиваться во время перехода компаний к гибридному формату работы, когда стало сложно управлять безопасностью паролей при удаленном доступе пользователей.

«Масштабы рынка теневой торговли паролями в те годы сильно увеличились. Как результат, компании начали чаще избегать паролей при использовании клиентских сервисов. Свою роль в этом сыграло активное развитие и популяризация стандартов FIDO», — отмечает системный архитектор компании «Аванпост» Дмитрий Грудинин.

Широкое распространение методы беспарольной аутентификации получат через 10-20 лет. Они станут значительно более доступны для широкого круга организаций. Однако полностью вытеснить пароли у них вряд ли получится. Консерватизм некоторых сотрудников и стремление проходить аутентификацию самым простым способом помешают им отказаться от паролей.

Что придет на замену паролям

Значительно более популярной станет биометрическая аутентификация. Доступ к данным можно будет получить в результате сканирования отпечатков пальцев либо же, например, после распознавания лица или голоса. Сейчас при помощи биометрии граждане могут произвести оплату услуг отдельных компаний.

«Сбер требует при оплате покупок более 1000 рублей кроме биометрии подтвердить покупку пятизначным паролем, который выступает как второй фактор», — рассказывает эксперт по информационной безопасности компании Axenix Евгений Качуров.

При помощи биометрической аутентификации получить доступ к данным сотрудникам будет проще всего.

«Этот метод наиболее удобен для пользователя, так как не требует запоминания паролей или других кодов доступа, но требует наличия соответствующего оборудования и достаточной точности системы распознавания», — обращает внимание ведущий инженер CorpSoft24 Михаил Сергеев.

Также значительно более востребованной станет двухфакторная аутентификация. Пройти ее сотрудники смогут, например, получив код в смс или и просканировав сетчатку глаза.

«Двухфакторная аутентификация уже широко используется в банковском и финансовом секторе, а также в корпоративной среде. Этот метод наиболее надежный и безопасный. Рекомендуется везде использовать только его», — поясняет ведущий инженер CorpSoft24 Михаил Сергеев.

При двухфакторной аутентификации злоумышленникам очень сложно получить доступ к данным пользователя, так как для этого им нужно знать, например, его электронную почту или номер телефона. Поэтому воспользоваться его учетной записью они могут достаточно редко.

С какими рисками придется столкнуться

Беспарольная аутентификация выведет безопасность организаций на новый уровень, однако факторы и устройства, при помощи которых она осуществляется, могут попасть в руки злоумышленников.

«Например, кто-то может украсть ваш отпечаток пальца, в сети полно инструкций, как с помощью глины или клея сделать отпечаток пальца и залогиниться в вашем телефоне», — поясняет Михаил Сергеев.

Снизить риски можно при помощи шифрования биометрических данных. Так же важно обучать пользователей правильному использованию методов беспарольной аутентификации и придерживаться строгих правил безопасности.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru