Проблема с паролями — люди — CloudSavvy IT

Shutterstock / Frame StudioПроблемы с паролями. Они могут быть слишком слабыми, повторно использоваться в нескольких системах, преднамеренно передаваться другим пользователям и подвергаться социальной инженерии. Но это не вина пароля. Проблема в людях.

Пароли и природа человека

Пароли могут быть детищами эпохи власти цветов, но с ними нельзя быть хиппи-хиппи и свободолюбивыми. С тех пор Фернандо Х. Корбато изобрел пароль, чтобы обеспечить некоторую конфиденциальность и безопасность для пользователей Совместимая система разделения времени многопользовательский компьютер в начале 1960-х годов, у людей были проблемы с подбором надежных уникальных паролей.

Человеческая природа означает, что многие люди предпочитают удобство безопасности. Это называется трением безопасности. Это ответная реакция, которую вы получаете, когда для повышения безопасности требуется изменение рабочего процесса, дополнительный шаг или некоторые мысли и усилия со стороны пользователя.

Один пароль проще, правда? Вам нужно запомнить только одно. Вы можете использовать его везде и очень быстро набираете его. Если вы вынуждены периодически менять пароль, просто измените номер или дату, которую вы отметили в конце. Если коллега хочет использовать вашу учетную запись, почему бы не передать ваши учетные данные?

Очевидно, что часть вины лежит на владельцах паролей. Но, возможно, часть вины лежит на тех из нас, кто не может связаться с этими пользователями. Нам нужно выяснить, как изменить наше сообщение, чтобы его содержание воспринималось и принималось, а не рассматривалось как раздражение и игнорировалось.

И мы знаем, что это игнорируется. Отчет за 2021 г. NordPass просмотрел базу данных 275 миллион пароли, и все обычные подозреваемые по-прежнему присутствуют в списке наиболее часто используемых паролей.

Наиболее часто используемые пароли

Всякий раз, когда происходит утечка данных, раскрытые данные — рано или поздно — обнаруживаются в темной сети. Это может быть для продажи или, как 533 миллиона личных записей пользователей Facebook, находится в свободном доступе. Различные организации берут копии взломанных баз данных и извлекают адреса электронной почты и пароли. Самым известным из них является Меня уговорили Веб-сайт.

Он предоставляет средство поиска, которое позволяет вам проверить, не было ли у вашей электронной почты утечки данных. Если да, вам сообщают, с каких веб-сайтов или организаций поступили данные. Вы можете изменить свой пароль для этих учетных записей и снова защитить их. И везде, где вы использовали тот же пароль.

Это список из десяти самых популярных паролей, обнаруженных в данных, которые были взломаны в 2020 году. Цифры в скобках — это количество раз, когда пароль был обнаружен в базе данных.

  1. 123456 (2 543 285)
  2. 123456789 (961 435)
  3. картинка1 (371 612)
  4. пароль (360,467)
  5. 12345678 (322 187)
  6. 111111 (230 507)
  7. 123123 (189 327)
  8. 12345 (188 268)
  9. 1234567890 (171 724)
  10. пароль (167,728)

Согласно Программа проверки паролей Experte все они могут быть взломаны менее чем за одну секунду, за исключением «picture1», что займет около одной минуты. Но самая большая угроза заключается в том, что эти пароли уже находятся в даркнете в базах данных, готовых к использованию в качестве боеприпасов в атаках с заполнением учетных данных.

Независимо от того, пришел ли пароль в базу данных от одной из ваших учетных записей или нет, он все равно будет работать с вашей учетной записью. Верхняя запись «123456» была замечена в базах данных взломов 2,5 миллиона раз, но была обнаружена в 23,5 миллионах взломов.

Это так же удивительно, как и удручает, что люди до сих пор используют подобные пароли. То же самое и с людьми, создающими платформы, которые позволят пользователям создавать подобные пароли. Плохие пароли следует перехватывать и отвергать автоматически во время их создания. Если пользователи не собираются следовать указаниям от своей собственной осведомленности, разработчики системы должны сделать невозможным создание учетных записей с незащищенными паролями.

Менеджеры паролей и политики

На рабочем месте вы можете предоставить политику паролей, которая определяет, какой пароль является приемлемым, а какой — нет. Ужесточите правила проверки паролей во всех системах, чтобы использовать надежные пароли. Поощряйте использование парольных фраз, связывающих три или четыре несвязанных друг с другом слова, соединенных знаками препинания.

Хотя это может показаться нелогичным, подумайте о том, чтобы следовать советам Национальный институт стандартов и технологий (NIST), Великобритания Национальный центр кибербезопасности (NCSC) и Microsoft а также Удалить требования к периодической смене паролей.

Регулярная смена паролей ничего не повышает безопасности и непреднамеренно способствует выбору неверных паролей. Он вынуждает пользователей сохранять базовый пароль и изменять его каждый раз, когда требуется изменение, обычно путем добавления к нему числа или даты.

Людям гораздо удобнее выбирать надежные уникальные пароли и хранить их на неопределенный срок. Пароли следует менять только тогда, когда пользователь покидает организацию или есть подозрение, что пароль был скомпрометирован.

Менеджеры паролей снимают много боли

Поощряйте или прямо навязывайте использование одобренного компанией менеджера паролей. Это создаст уникальные надежные пароли для каждой учетной записи, для каждого пользователя. Для вас автоматически создаются чрезвычайно надежные пароли, автоматически вводятся для вас, и вам нужно запомнить только один пароль — тот, который используется для менеджера паролей.

Менеджеры паролей предназначены для разных устройств и кроссплатформенны, поэтому вы можете использовать их на всех своих устройствах. Пароли хранятся с использованием типа шифрования, для расшифровки которого требуется ключ от вашего устройства. Даже если компания, занимающаяся менеджером паролей, нарушит правила, ваши пароли останутся незамеченными.

Менеджеры паролей также предоставляют другие преимущества безопасности. Фишинговые электронные письма часто содержат ссылки, которые отправляют неосторожного пользователя на похожий веб-сайт, который собирает учетные данные. Менеджер паролей не будет вводить их учетные данные, потому что он не распознает поддельный URL.

Двухфакторная аутентификация

Двухфакторная аутентификация добавляет еще один уровень защиты. Это требует от пользователя двух вещей. Что-то они знать, их пароль, с чем-то, что они имеют, например их смартфон. Приложение на вашем смартфоне отобразит одноразовый код, который необходимо ввести вместе с паролем.

Это означает, что даже если пароль будет раскрыт во время взлома, злоумышленники не будут иметь доступа к этой учетной записи. Обратите внимание, что проверка подлинности на основе SMS больше не считается безопасной. Используйте системы, для которых требуется брелок, специальное устройство или приложение для смартфона.

Многофакторная аутентификация делает еще один шаг вперед. Помимо того, что вы знаете и что у вас есть, это требует того, что вы находятся, например, обладатель вашего уникального отпечатка пальца, радужной оболочки глаза или голоса.

К сожалению, двухфакторная аутентификация доступна не везде. Существует очень много систем — почти наверняка большинство систем — которые по-прежнему зависят от проверенной временем пары учетных данных — идентификатора и пароля. Это медленно меняется, но модель аутентификации с использованием идентификатора и пароля будет существовать еще долго.

Практические шаги, которые необходимо предпринять

  • Политики: вам необходимо зафиксировать свои требования к допустимым паролям и правилам их защиты в документе политики. Если это не записано, это не политика. Он должен охватывать надежность паролей, парольных фраз и давать рекомендации по защите паролей. Никогда не записывайте их, никогда не делитесь ими и никогда не используйте их более чем в одной системе.
  • Менеджеры паролей: укажите, какие менеджеры паролей одобрены вашей компанией, и поощряйте или добивайтесь их использования. Есть из чего выбирать. NordPass, Bitwarden, а также 1Пароль все хорошие продукты с бесплатным планом или бесплатной пробной версией, чтобы вы могли убедиться, соответствуют ли они вашим потребностям.
  • Двухфакторная и многофакторная аутентификация: используйте ее там, где доступна двухфакторная или многофакторная аутентификация. И помните, что только потому, что вы добавили еще один уровень аутентификации, качество, защита и уникальность ваших паролей так же важны, как и раньше.
  • Дизайн системы: если вы пишете программное обеспечение, убедитесь, что слабые пароли отфильтровываются и отклоняются при создании учетных записей. Вы можете включать списки отклоненных паролей, которые никогда не будут использоваться. Вы также можете искать только в онлайн-ресурсах, таких как Have I Been Pwned, чтобы проверить, был ли найден пароль при предыдущих утечках данных. Ты можешь скачать всю базу скомпрометированных паролей из Have I Been Pwned, если вы хотите разместить его локально.
  • Образование: до тех пор, пока «123456» не появляется в списках наиболее часто используемых паролей, мы должны постоянно пытаться донести до ума основные основы паролей.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *