Половината от интернет използва паролата „Password1“. Другата половина вече е хакната
В нов разбор, учреден на изследване на 10 милиона фактически компрометирани пароли, Specops демонстрира какъв брой уязвими остават корпоративните мрежи заради човешка неточност. Всички пароли са взети от лист с повече от един милиард изтекли пароли. Резултатът е обезпокоителен: единствено 1,5% от всички оценени пароли могат да бъдат класифицирани като „ мощни “.
Критериите за това определение бяха строги: за сигурна се считаше ключова дума с дължина 15 или повече знака, която съдържа най-малко два разнообразни типа знаци, като букви и числа.
Тази дължина не е определена инцидентно – всеки спомагателен знак усилва неведнъж броя на вероятните комбинации. Например, ключова дума с 15 дребни букви има 1,7 квинтилиона разновидността. Добавянето на един-единствен знак усилва броя на комбинациите съвсем 26 пъти, а в случай че се употребяват всички позволени знаци (букви, числа и специфични символи), общият брой на разновидностите доближава 2,25 квинтилиона. Дори мощните платформи, основани на графични процесори не са в положение да се оправят с сходна задача в обозримо бъдеще.
Топлинна карта, дължина на паролата по отношение на трудност на паролата (Specops) Въпреки тази вероятност обаче потребителите не престават да избират къси и елементарни комбинации.
Най-разпространеният вид ключова дума е 8 знака с два вида знаци (например, букви и цифри), което съставлява 7,9% от всички пароли. Следват пароли със същата дължина, само че още по-малко сигурни – единствено един тип знаци – 7,6% от всички пароли. Паролите с дължина до 8 признака съставляват голямото болшинство от паролите и могат да бъдат разрушени за няколко часа.
Анализът демонстрира, че единствено 3,3% от всички пароли надвишават границата от 15 признака. Това допуска, че политиките за основаване на пароли в организациите или не са регламентирани, или се подценяват. В същото време увеличението на дължината даже с няколко признака фрапантно усилва устойчивостта на офанзивата – разширението с четири признака на 12-цифрена ключова дума усилва напъните, нужни за нейното принудително изтръгване със 78 милиона пъти.
В изследването се обръща особено внимание на наклонността към незадоволителна трудност. Повече от половината от всички оценени пароли включват най-много два типа знаци.
Въпреки че актуалните рекомендации са ориентирани повече към дължината, прибавянето на трети или четвърти вид знак също доста усилва силата. Дължината си остава главен фактор: 16 до 20 признака обезпечават по-добра отбрана от късите, въпреки и комплицирани пароли.
За да се увеличи сигурността, се предлага да се премине от обичайни пароли към смислени изречения – дълги, само че лесни за запомняне изречения като „ SunsetCoffeeMaroonReview “ са доста по-сигурни и комфортни от набори от знаци като „!x9#A7b! “. Този метод понижава броя на грешките при писане, позвъняванията до техническа поддръжка и умората от непрекъснатата промяна на пароли.
Основните закани, свързани със слабите пароли си остават същите:
Лесни за разтрошаване: късите комбинации се нападат елементарно от автоматизирани офанзиви, изключително при потребление на графични ускорители и ботнети. Повторна приложимост: една компрометирана ключова дума постоянно отваря достъп до голям брой системи. Несъответствие: слабите пароли нарушават наредбите на GDPR, HIPAA и PCI DSS. Всичко това води до санкции, одити и загуба на известност.Дори положителното използване на хеширане не защищава от слабостта на самата ключова дума. Заключенията на изследването водят до една елементарна истина: слабите парoли към момента са необятно публикувани. Само цялостна политика, която включва надзор върху дължината, сложността, уникалността и своевременните актуализации може да отбрани корпоративната инфраструктура от съществени офанзиви, а статистиката демонстрира, че множеството компании към момента имат доста работа в тази област.
