A КаКо1й_пАро2лb_у_ВаC?

В прошлой статье мы рассуждали о безопасности ИТ-инфраструктуры в облаке. И пришли к тому, что основную опасность для сохранности данных вне зависимости от того, где они находятся, представляют внутренние источники: невольные ошибки сотрудников, а то и целенаправленная деятельность инсайдеров.

В рамках этой темы нашлось интересное исследование о проблемах парольной защиты в российских компаниях, проведённое в 2009 году компанией Positive Technologies.

Наиболее значимые выводы данного исследования таковы:

• администраторами информационных систем зачастую используются незамысловатые пароли низкой стойкости;
• 53% проанализированных паролей состоят только из цифр.

Основными причинами низкой стойкости пароля являются:

• пароль содержится в публично распространяемых словарях – 15,28%;
• полное совпадение пароля и имени пользователя – 10,19%;
• пароль является пустой строкой – 1,91%;
• частичное совпадение пароля с именем пользователя – 0,63%.

Таким образом, в 28% случаев для учетных записей с повышенными привилегиями используются пароли низкой стойкости. Это позволяет злоумышленнику за короткое время получить доступ к закрытой информации и системе управления. Достаточно только воспользоваться методом полного перебора паролей и перебора с использованием словаря. Вероятность успеха составляет от 60 до 100%.

Как думаете, в свете изложенного выше, есть ли смысл совершать атаку на облако со сложными системами защиты и мониторинга сетевой активности, если сомнительный уровень внутренней безопасности в компаниях зачастую даёт для этого куда больше возможностей?

Помните, что данные в Tucha надежно защищены, но не забывайте при этом простых правил создания надежного пароля:

• срок действия пароля – не более 90 дней;
• длина пароля – не менее 7 символов;
• пароль должен содержать как цифровые, так и буквенные символы;
• каждый обновлённый пароль должен отличаться от 4-х предыдущих.