Що не так з паролями

ТОП-15 фактів про паролі, щоб змінити своє ставлення до них

 

Згідно результатів дослідження Університету Північної Джорджії, кожні 44 секунди відбувається нова кібератака, що дорівнює приблизно 2000 кібератакам на день. І хоча не всі з них пов’язані з паролями, вдосконалення складних засобів автентифікації напевно знизить ці тривожні цифри.

 

Тож ми зібрали статистичні дані про паролі та факти на основі нових досліджень, щоб привернути увагу до проблеми поганого управлінням паролями та наслідками, до яких це призводить.

 

1. У СПИСКУ ДЕСЯТИ МІЛЬЙОНІВ НАЙБІЛЬШ ПОШИРЕНИХ ПАРОЛІВ, ДОСТУПНИХ НА GITHUB, ЛІДЕРАМИ Є «12345», «PASSWORD», «12345678» І «QWERTY».

 

Світ паролів, у якому ми живемо, зробив користувачів нечутливими до загроз, від яких захищає пароль. Вони обирають короткий шлях і використовують найпростіші комбінації, які легко запам’ятати. Те саме стосується й підприємств – їх також легко зламати.

 

2. 59% КОРИСТУВАЧІВ СТВОРЮЮТЬ ПАРОЛІ, ЯКІ МІСТЯТЬ ЇХНІ ІМЕНА АБО ДАТИ НАРОДЖЕННЯ.

 

Мета полягає в тому, щоб створити пароль, який ніхто інший не знатиме або не зможе легко вгадати. Уникайте загальних слів, таких як «password», фраз, таких як «mypassword», і передбачуваних послідовностей символів, таких як «qwerty» або «thequickbrownfox».

 

Також намагайтесь не використовувати своє ім’я, псевдонім, ім’я вашого домашнього улюбленця, свій день народження чи річницю, назву вашої вулиці чи будь-що, пов’язане з вами, про що хтось може дізнатися з соціальних мереж або з дружньої розмови з незнайомцем у літаку чи на барі.

 

3. 43% КОРИСТУВАЧІВ ВИКОРИСТОВУЮТЬ ЯК МІНІМУМ ОДИН ПАРОЛЬ СПІЛЬНО З КОЛЕГАМИ, ДРУЗЯМИ АБО ЧЛЕНАМИ РОДИНИ.

 

Спільне використання паролів призводить до проблем безпеки та шкодить бізнесу.

 

Netflix є гарним прикладом, коли компанія втратила дохід через неофіційні спільні облікові записи, а також через витрати на підтримку клієнтів із вхідними запитами на скидання пароля у випадку зламаного облікового запису. Крім того, не дуже сумлінні користувачі, намагаючись отримати доступ до чужого облікового запису, можуть легко скомпрометувати доступ до інших служб – часто використовуючи ті самі облікові дані, які вже є у шахрая.

 

4. ЛИШЕ 45% КОРИСТУВАЧІВ ЗАЯВИЛИ, ЩО ЗМІНИЛИ ПАРОЛЬ, ДІЗНАВШИСЬ ПРО ВИТІК ДАНИХ.

 

Кейс зі Slack є хорошим прикладом того, як слід діяти в період після інциденту. Компанія розіслала електронні листи для скидання пароля всім користувачам, які ймовірно постраждали під час інциденту. Попри те, що підхід є реактивним, а не проактивним, це було, безумовно, правильним рішенням взяти справу в свої руки та заблокувати доступ до служб за допомогою облікових даних, які скомпрометовані.

 

5. ІТ-СПЕЦІАЛІСТИ ПЕРЕВИКОРИСТОВУЮТЬ ПАРОЛІ ЧАСТІШЕ, НІЖ ЗВИЧАЙНІ КОРИСТУВАЧІ.

 

50% ІТ-фахівців стверджують, що вони повторно використовують паролі для кількох облікових записів, як корпоративних, так і особистих. Крім того, незалежно від рівня обізнаності у безпеці, однаковий відсоток як серед користувачів, так і ІТ-фахівців визнає, що перевикористовують паролі.

 

6. ЛИШЕ 32% КОРИСТУВАЧІВ МОЖУТЬ ПРАВИЛЬНО ВИЗНАЧИТИ ТЕРМІНИ «МЕНЕДЖЕР ПАРОЛЕЙ», «ФІШИНГ» І «2FA».

 

Опитування Google свідчить про відсутність розуміння безпеки в Інтернеті. Користувачі не мають достатньо ресурсів для захисту своїх облікових записів шляхом впровадження стандартних заходів безпеки. У зв’язку зі швидким розвитком і вимогами щодо MFA компанії повинні переконатися, що середній користувач знайомий із додатковими заходами безпеки та перевагами 2FA.

 

7. 4 з 5 ЗЛАМІВ ПЕВНОЮ МІРОЮ ПОВ’ЯЗАНІ З ПАРОЛЯМИ.

 

У дослідженні Verizon стверджується, що паролі є причиною 80% зламів. Найпоширенішими методами компрометації облікових записів є втрата або викрадення облікових даних та атаки брутфорс (метод перебору логіна та пароля).

 

8. 55% КОРИСТУВАЧІВ ЗА АЛЬТЕРНАТИВНИЙ МЕТОД АВТЕНТИФІКАЦІЇ ЗАМІСТЬ ПАРОЛІВ.

 

Згідно дослідження Ponemon Institute, більше половини респондентів хотіли б позбавитися паролів. У дослідженні також зазначено, що спонукає користувачів переходити на альтернативні методи автентифікації. Вони усвідомлюють, що паролі забезпечують недостатній рівень безпеки, їх засмучують часті скидання пароля, і їм не подобається в цілому клієнтський досвід, що забезпечує пароль.

 

9. 65% КОРИСТУВАЧІВ НЕ ДОВІРЯЮТЬ ВЕБ-САЙТАМ ТА СИСТЕМАМ, ЯКІ ПОКЛАДАЮТЬСЯ НА ПАРОЛІ.

 

Пересічний користувач знає про сучасні кіберзагрози. Разом із забезпеченням зручності для користувачів, компаніям також необхідно завоювати їхню довіру до впроваджених заходів безпеки.

 

10. 52% КОРИСТУВАЧІВ ПОВТОРНО ВИКОРИСТОВУЮТЬ ОДИН ПАРОЛЬ ДЛЯ КІЛЬКОХ ОБЛІКОВИХ ЗАПИСІВ.

 

Опитування з онлайн-безпеки Google стверджує, що 13% користувачів використовують однаковий пароль для всіх облікових записів, зокрема, для електронної пошти.

 

11. 59% ФІНАНСОВИХ КОМПАНІЙ МАЮТЬ ПОНАД 500 ПАРОЛІВ БЕЗ ТЕРМІНУ ДІЇ.

 

Компанії, які мають справу з конфіденційними даними, такими як особиста та фінансова інформація, повинні застосовувати політики безпечного управління паролями. Впровадження автентифікації на основі пароля без обов’язкового оновлення пароля відкриває двері для атак брутфорс на основі відкритих облікових даних користувача.

 

12. ДЛЯ ВИЯВЛЕННЯ ТА ЛОКАЛІЗАЦІЯ ВИТОКУ ДАНИХ ПОТРІБНО 280 ДНІВ.

 

280 днів потрібно для виявлення та пом’якшення наслідків порушення безпеки, що дорівнює часу, який можна було б присвятити створенню надійної інфраструктури безпеки. Як зазначено вище, 80% витоків даних спричинені слабкими паролями. Впровадження складних засобів автентифікації є інвестицією в «броньований» захист і зменшення витрат, пов’язаних з витоком даних.

 

13. ОПИТУВАННЯ LASTPASS: 57% КОРИСТУВАЧІВ ЗАБУВАЮТЬ ПАРОЛЬ ВІДРАЗУ ПІСЛЯ ЙОГО СКИДАННЯ.

 

У таких випадках стають у нагоді програми для управління паролями. Але що, як хакер отримає доступ до менеджера паролів? Також менеджеру паролів потрібен інший пароль для захисту тих, які зберігаються в програмі. Тож ми потрапляємо у замкнене коло паролів і менеджерів паролів.

 

14. 64% КОРИСТУВАЧІВ УНИКАЮТЬ СЕРВІСІВ ТА САЙТІВ, ВІД ЯКИХ ЗАБУЛИ ПАРОЛІ.

 

Згідно з LastPass, користувачі, як правило, йдуть, якщо не можуть отримати доступ до облікового запису з першої спроби.

 

15. 65% УЧАСНИКІВ ОПИТУВАННЯ ВВАЖАЮТЬ, ЩО ВПРОВАДЖЕННЯ БІОМЕТРИКИ ЯК ФОРМИ АВТЕНТИФІКАЦІЇ ПІДВИЩИЛО б ЗАГАЛЬНУ БЕЗПЕКУ КОМПАНІЇ.

 

Те саме дослідження Ponemon Institute також показує, що 55% користувачів розділяють думку щодо автентифікації без пароля.

 

Наведені цифри говорять про те, що паролі ослаблюють інфраструктуру безпеки, і на них не можна покладатися. Більше не йдеться про те, чи буде обліковий запис зламано; питання в тому, коли обліковий запис буде зламано.