84% пользователей хотят избавиться от паролей

84% пользователей хотят избавиться от паролей

Некоторые специалисты давно говорят, что аутентификация по паролю не удовлетворяет современным требованиям безопасности. Очень редко бывает, чтобы абсолютное большинство простых пользователей с радостью согласились выполнить требования безопасников. Здесь как раз такой случай. 

Опрос юзеров показал, что 84% из них хотят навсегда избавиться от паролей.

Три четверти опрошенных высказали мнение, что их информация будет в большей безопасности, если использовать альтернативную форму верификации, а 59% предпочитают приложить палец к сканеру отпечатков, чем вводить ненавистный пароль.

Такие результаты вполне объяснимы. Почти половина опрошенных (46%) используют более десяти паролей для доступа к разным сайтам. Но это не спасает их от возможных проблем с утечкой пароля. Около 68% респондентов прекрасно осознают, что один и тот же пароль они указали на нескольких сайтах, а ведь делать это категорически не рекомендуется для аккаунтов, где хранится ценная информация, пишет xakep.ru.

Память человека тоже не безгранична. 77% людей признались, что часто забывают пароли или записывают их на бумажке. Наибольшую ненависть у граждан вызывают сайты, которые в целях безопасности заставляют периодически менять пароли, а также те сайты, которые (опять же, в целях безопасности) заставляют выбирать надёжный пароль по шаблону, который не вписывается в привычную для пользователя схему.

У парольной защиты есть «врожденные» недостатки — доступ к своему аккаунту легко поделить с другим человеком, а в некоторых случаях это считается даже нормой. Например, современные подростки в западных странах считают, что поделиться паролем от социальной сети с любимым человеком — это показатель доверия и искренности в отношениях. В случае с биометрической аутентификацией подобный фокус не пройдет.

Опрос проведен компанией LaunchKey, которая занимается созданием платформы для аутентификации с мобильных устройств и работает под девизом «Убей пароли». В своем опросе они специально изучили мнение людей о двухфакторной аутентификации. Оказывается, эту технологию тоже нельзя назвать перспективной: 64% опрошенных вообще не знают, что это такое, и только 20% назвали её удобной в использовании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Golden dMSA: доступ к защищенным ресурсам AD через взлом контроллера домена

Специалисты Semperis обнаружили серьезный изъян проекта Managed Service Accounts (dMSA), который существенно упрощает взлом паролей к управляемым аккаунтам и позволяет получить постоянный доступ во всем их ресурсам в доменах Active Directory.

Функциональность dMSA была введена в Windows Server 2025 для зашиты от атак на протокол Kerberos. Разработанный экспертами способ внедрения бэкдора в обход аутентификации несложен в исполнении, однако для успешной атаки придется заполучить корневой ключ службы KDS.

Из-за этого создатели Golden dMSA оценили степень угрозы как умеренную: заветный ключ доступен только из-под учетной записи с высочайшими привилегиями — администратора корневого домена, админа предприятия либо SYSTEM.

С помощью этого мастер-ключа можно получить текущий пароль dMSA или gMSA (групповой управляемый аккаунт пользователя AD) без повторного обращения к контроллеру домена. Как оказалось, для регулярно и автоматически заменяемых паролей предусмотрено лишь 1024 комбинации, и они поддаются брутфорсу.

 

Таким образом, компрометация одного контроллера домена в рамках Golden dMSA может обернуться масштабным взломом управляемых аккаунтов AD-службы. Автор атаки также получает возможность горизонтально перемещаться между доменами целевой организации.

Примечательно, что представленный Semperis метод позволяет обойти Windows-защиту Credential Guard — механизм, предотвращающий кражу учеток, NTLM-хешей и тикетов Kerberos (идентификаторов TGT).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru