И снова пароли…

Тема в разделе "Новости информационной безопасности", создана пользователем cybercop, 4 фев 2013.

  1. cybercop
    Оффлайн

    cybercop Ассоциация VN

    Сообщения:
    317
    Симпатии:
    493
    О парольной защите написано огромное количество статей. Никто, кажется, не сомневается в ее необходимости. И, уж тем более, в том, что пароль должен отвечать требованиям сложности, быть не менее 10 символов, регулярно изменяться и требовать неповторимость.

    Но так ли все безоблачно? Увы, нет.

    Подобранный или украденный злоумышленником пароль может стать ключом ко всей информации о пользователе: начиная от персональных фотографий и заканчивая номером кредитной карты. Поэтому для многочисленных онлайновых сервисов рекомендуется использовать сложные пароли. Крайне желательно не задействовать один и тот же пароль на различных сервисах. Иначе пользователь может потерять не только важные данные, но частичку своей «цифровой» личности – например, вместе с доступом к странице в социальной сети.

    Исследование, проведенное в преддверии запуска Kaspersky Internet Security 2013 по заказу «Лаборатории Касперского» компанией О+К Research в 25 странах мира показывает, что угрозу простых паролей пользователи пока не осознали: данные 34% опрошенных практически не защищены.

    Согласно результатам опроса, весьма часто используются вовсе небезопасные пароли, которые легко подобрать даже без использования специальных методик. Речь идет о дате рождения (16%), middle name (3%) или кличке домашнего животного (6%) – эту и другую подобную информацию могут узнать не только близкие друзья и родственники. Ее без особо труда можно найти в Интернете, например, в социальных сетях, злоумышленнику нужно лишь проявить немного сообразительности. Еще 15% опрошенных используют сочетание цифр «123456» или похожее, а 6% – слово «пароль». Такая «защита», равно как и другие пароли, основанные на простых словах, может быть легко вскрыта за короткое время.

    Еще одна проблема безопасности, на которую пользователи редко обращают внимание, – использование повторяющихся паролей. Такой подход позволяет не перегружать память большим количеством цифробуквенных комбинаций, но если один пароль попадет в руки киберпреступников, они смогут получить доступ сразу к нескольким сервисам или программам. По данным O+K Research в Украине 6% опрошенных устанавливают один пароль на все учетные записи, а 34% – используют всего лишь несколько паролей. С учетом того, что треть украинских участников исследования (65%) используют 5 и более защищенных паролем сервисов и приложений, можно представить себе масштаб «дыры» в защите.

    Поскольку пользователи ограничиваются всего несколькими паролями для всех своих учетных записей, они рискуют потерять важную информацию, ведь взлом одного пароля, может теоретически привести ко взлому остальных. Ввиду того, что сегодня наиболее привлекательной целью для киберпреступников являются финансы, взлом учетной записи Интернет-банкинга, для которой используется элементарный пароль, не составляет особого труда. Технология Безопасные платежи, которая входит в Kaspersky Internet Security 2013, обеспечивает надежную защиту пользователей при осуществлении финансовых операций через системы онлайн-банкинга и платежные системы.

    Как уже упоминалось выше, место хранения пароля играет важную роль в деле защиты информации. Большинство пользователей (51%) предпочитает их запоминать, что весьма неплохо, но часто является следствием упрощения паролей и использования одного пароля для нескольких аккаунтов. Плюс 51% опрошенных признались, хотя бы раз забывали нужный пароль. 11% просто записывают пароли на стикер и наклеивают на монитор, а 34% используют для этого обычный бумажный блокнот. Специальные программы для хранения паролей используют лишь 6% опрошенных, хотя именно такие решения способны максимально защитить пользовательские данные.

    Не так давно я беседовал с одним из сотрудников ИТ довольно крупного предприятия, называть которое, по вполне понятным причинам я не буду.

    На предприятии принята политика паролей, однако она не выполняется. Причина банальна. Сотрудники из числа руководящего состава компании банально забывают пароли. Причем даже пароли длиной всего лишь в ТРИ(!) символа! О каких 10 может идти речь? Итог? Политика паролей принята, но это мертворожденный документ для проверяющих. И не более.

    Что можно предложить в таком случае? Есть на самом деле три выхода из ситуации. И все плохие.
    1.Политика вводится в жизнь и пользователей все же заставляют жить по правилам
    2.Вводится многофакторная аутентификация.
    3.Вводится биометрическая аутентификация.

    Рассмотрим подробнее.

    Политика вводится в жизнь и пользователей все же заставляют жить по правилам

    К чему это приведет? На самом деле это приведет к тому, что пользователи начнут:
    1.Чаще просить службу поддержки сбросить забытый пароль. При этом до 50% всех запросов в службу поддержки, а то и более, будут составлять запросы на сброс пароля
    2.Пароли будут записываться на бумажке и клеиться на монитор, клавиатуру, прятаться в ящик стола.
    3.Пользователи будут использовать легкие в запоминании пароли типа Имя+дата рождения
    4.Руководство компании будет засыпано жалобами (особенно VIP-сотрудников) о том, что им сложно работать.

    А теперь представьте что пароль не один…

    Многофакторная аутентификация

    Данный способ, несмотря на то, что на первый взгляд предпочтительнее, тоже имеет свои недостатки.

    И здесь в первую очередь недостатком является цена вопроса. Ведь внедрение многофакторной аутентификации это в первую очередь дополнительная нагрузка на системного администратора. Ему потребуется не только создать и обслуживать сервер сертификатов, а и обслуживать устройства многофакторной аутентификации.

    Да и работы службе поддержки, увы, меньше не станет. Ведь вместо забытых паролей люди будут обращаться по поводу забытых PIN-кодов.

    Биометрическая аутентификация

    Данный способ решения, увы, решением проблемы тоже сложно назвать. Ведь если мы можем использовать биометрические технологии для входа в сеть, то если у нас не настроена технология Single Sign One (SSO, единая точка входа), то пользователям в любом случае придется помнить несколько паролей на вход в те или иные приложения или сетевые ресурсы.

    Таким образом, мы сможем лишь избавить пользователей от доменного пароля. Да и снова вопрос будет упираться в дополнительные аппаратные ресурсы и деньги.

    Где выход?

    Однозначного легкого выхода из ситуации я не вижу.

    Как промежуточный вариант можно предложить сочетание парольной защиты с многофакторной или биометрической. При этом, соответственно, парольная защита будет использоваться для всех, а многофакторная (биометрическая) – для VIP сотрудников. Почему так? Потому что, увы, на просторах бывшего СССР сложилось мнение, что все политики (в том числе и парольная) это для всех, кроме руководящего звена, мол, им не обязательно что-то соблюдать, пароли помнить…
     
    3 пользователям это понравилось.

Поделиться этой страницей