Сигурност

Най-лошите пароли на 2019-та и как да подобрим сигурността

Александър Главчев

Огромен брой потребители и служители продължават да ползват близки до ума пароли като "123456" и "qwerty" за достъп до онлайн услуги и корпоративни системи. Първата от двете комбинации е на първо място по популярност от всяка година от 2013-та насам по данни на SplashData.

Надолу в класацията следват все така епично несигурни комбинации (Споменатата "qwerty" нпаример е неизменно в челната десетка.).

"За съжаление няма много големи разлики между предишните класации и настоящата, споделя Морган Слейн, главен изпълнителен директор на SplashData. Това е така тъй като паролите така, че да са лесни за запомняне, което обаче ги прави и лесни за хакване."

Най-лошите пароли на 2019 г.
  1. 123456
  2. 123456789
  3. qwerty
  4. password
  5. 1234567
  6. 12345678
  7. 12345
  8. iloveyou
  9. 111111
  10. 123123
Списъкът в голяма степен съвпада с други подобни класации, например NordPass или на Националния център по киберсигурност на Великобритания. Той е относително константен и спрямо миналата година:

Най-лошите пароли на 2019-та и как да подобрим сигурността

Проблемът с корпоративните пароли


Все по-често бизнесите използват многофакторна автентикация или технологии за единен вход до корпоративните системи. Често обаче служителите продължават да спазват лоша хигиена по отношение паролите си за достъп, което намалява сигурността на цялата организация.

Същевременно е ясно защо хората се стремят да опростят нещата. Според изследване на LogMeln служителите в по-големи компании (между 1000 и 10 000 души) трябва да ползват средно по 25 пароли. Проблемът е дори още по-остър в малките организации (под 25 души), където средният брой на паролите е 85.

Т.нар. сенчесто ИТ е друга трудност. Един от най-големите проблеми пред корпоративната сигурност е безконтролното използване на външни приложения и услуги. Служителите откриват начини за рационализиране на работата си, а нагласата че всеки трябва да се справя сам води до скрити пароли, които се оказват извън полезрението на ИТ отделите.


Начини за подобряване на корпоративните пароли


Използване на мениджъри за пароли

Приложенията за управление на пароли за бизнес потребители (като 1Password, Dashlane и LastPass) са ефективна първа стъпка към намаляване на рисковете в тази насока. С тях служителите могат да сведат броя на служебните пароли, които трябва да помнят, до две: за приложението за управление на пароли и за компютърния акаунт, в който се влиза всеки ден.

Двуфакторна автентикация

Това включва например паролата, която потребителят трябва да въведе, и устройство (като смартфон), което е защитено с пръстов отпечатък или по друг начин. За влизане в системата се изисква въвеждане на допълнителен код, изпращан на телефона.

Не позволявайте използване на думи от речника

При т.нар. брут форс атаки престъпниците просто изпробват думи от речници, надявайки се да улучат правилната. За целта най-добре е да се използват комбинации от символи, които да не са обичайни думи.

Пароли без лична информация

Имена на съпрузи, домашни любимци, родни места или друга лесна за идентифициране информация не трябва да служи за парола за достъп до корпоративна (или каквато и да е друга) система. Подобни детайли могат лесно да бъдат открити в профилите в социалните мрежи на огромно количество потребители. Хакерите лесно могат да отгатнат и комбинации от рода на "име на домашен любимец+1234" или "име на съпруг(а)+година на сватбата".

Обучавайте колегите какво е сигурна парола

Сигурната парола не трябва да присъства никъде в публичната сфера (например в речниците), да не се появява никъде в личния живот (като други потребители на акаунти) и е препоръчително да съдържа достатъчно случайни знаци, които биха отнели цяла вечност, за да се налучкат. Очевидно комбинация като "D2a5n6fian!" е много по-трудна за отгатване от "Mariya-1996".

Провеждайте одити на паролите

В идеалния случай вашата организация трябва да използва система за удостоверяване, която позволява одити за пароли, споделя Тим Маки, главен стратег по сигурността в изследователския център за киберсигурност Synopsys (CyRC). "Следете за неща като повторна употреба на парола сред служителите или използване на често срещани думи или общи думи с прости замествания на символи. Ако откриете слаба парола, използвайте събитието като възможност за учене за потребителите." Паролата от предишния съвет не би станала много по-сигурна, ако се превърне в "M@riya-1996".

Не демонизирайте сгрешилите

Създайте среда, в която служителите да се чувстват комфортно да повдигат въпроси или притеснения относно сигурността, особено ако подозират, че може да са допуснали грешка. Ако за проблемите със сигурността се разбира рано, можете се действа бързо за справяне с първоначалната заплаха и да се предприемат стъпки, за да предотвратяване на аналогични ситуации занапред.

Изисквайте използване на всякакви символи

Това включва големи и малки букви, цифри и символи. "Използвайте алгоритъм, който сравнява паролите с предишните пароли на потребителите, за да предотвратите преизползването", съветва Шайне Шерман, изпълнителен директор на онлайн технологичната база знания TechLoris.


Бъдеще без пароли?


Възможно е в скоро бъдеще притесненията за слаби пароли да останат в миналото благодарение на алтернативни форми на автентикация, като биометрия. Не всички специалисти в областта са съгласни, че това може да се случи. "Не вярвам, че някога изобщо ще се освободим от паролите, споделя Тим Маки от CyRC. Дори когато се използват парадигми за еднократна автентикация, остава необходимостта да се идентифицира даденият потребител. Биометричните решения са обещаващи, но се вписват най-добре като допълнение към многофакторната стратегия."

Биометричното удостоверяване има своите недостатъци, допълва Лоранс Пит, директор за глобални стратегии за сигурност на Juniper Networks. "Един недостатък на биометричните данни е, че те могат да бъдат откраднати също толкова лесно, колкото някой може да ви открадне кредитната карта. Друг недостатък е, че има други среди, в които тези методи за удостоверяване просто не са приложими. Това може да доведе до автентикация само с парола, което не е достатъчно."

Устройствата от Интернет на нещата (IoT) добавят още повече сложност към надеждата за бъдеще без пароли. "Тези устройства обикновено се предлагат с лесни за отгатване или търсене по подразбиране пароли, казва Асаф Харел, съосновател в Karamba Security. Така че те могат да станат основи за ботнет мрежи, като Mirai, които търсят пасивен набор от устройства, които да обслужват разпространените им кампании за отказ от услуги. IoT изисква нов поглед към това как да се интегрира многофакторната автентикация."

И все пак някои експерти прогнозират, че сме на път към бъдещето без пароли. "Промяната отнема време, но не бих се изненадал, ако в крайна сметка заживеем в такъв свят, споделя Питър Пърсел, съосновател на EVAN360, платформа за поддръжка на отдалечени технологии. Той допълва, че мерките за сигурност като сканиране на лица и пръстови отпечатъци, USB ключове за сигурност и гласова биометрия все повече ще предлагат на предприятията възможности за по-сигурна автентификация на потребителите.

Като пример Пърсел посочва, че от 2017 г. Google е започнала да изисква от всички служители да използват физически ключове за защита вместо пароли и еднократни кодове. Компанията съобщи една година по-късно, че в резултат на това няма нейн служителите, който да е станал жертва на фишинг.

Биометрията "със сигурност ще ни освободи от пароли и ще направи автентикацията по-лесна и по-надеждна", добавя ИТ директорът на McAfee Скот Хойт. В миналото проблемът с биометрията, като например разпознаването на лица, беше свързани производителността, необходима за стартиране на подобни системи. Днес тези системи работят в облака и са бързи и ефективни. От ключово значение е тези системи да са бързи и лесни за използване, както да са надеждни."

Преминаването към "наистина безпаролна идентификация ще бъде пътешествие", казва Джим Дюхарм, вицепрезидент на RSA. "Днес всички влизания без парола всъщност разчитат пароли и потребителски имена при създаване и възстановяване на акаунти. Много устройства предлагат разпознаване на лица и отпечатъци, но профилите на потребителите все още се създават с парола и ако вашето устройство бъде загубено или откраднато, то акаунтът се възстановява с нея. "

За постигане свят без пароли, е необходим подход, който да отчита регистрацията, възстановяването на идентификационни данни и начините за сигурно удостоверяване на потребителите на устройства, които не поддържат биометрия или възможности за бърза идентичност онлайн.

"Тези нови методи за удостоверяване, съчетани с по-сигурни механизми за създаване и възстановяване на акаунти, както и с многопластово удостоверяване, са ключови за напълно премахване на паролите, казва Дюхарм. Или поне ще ни позволят драстично да намалим сложността им, свеждайки ги до нещо като обикновен четирицифрен ПИН."

Източник

X