По курсу ЦБ РФ $73.55ք €89.25ք
По курсу АО "Россельхозбанк" Продажа $76.00 €91.65 | Покупка $71.00 €86.65

Ключ от всех дверей: как хакеры взламывают пароли офисных сотрудников

04.12.2020, 16.01
Ключ от всех дверей: как хакеры взламывают пароли офисных сотрудников

Практически у каждого офисного сотрудника есть учетная запись в корпоративной сети. Придумать пароль для своего аккаунта – первое, что надо сделать сотруднику при выходе на новую работу. Но многие относятся к этой задаче халатно: помимо рабочей, у каждого человека есть множество личных «учеток», а придумать и запомнить надежные пароли к каждой из них и сложно, и лень. Увы, выбор часто делается в пользу простейших комбинаций типа «1234Qwerty» –таким «грешат» и небольшие организации, и крупные компании. В итоге корпоративные аккаунты, которые должны быть защищены от посторонних глаз, становятся для хакеров легкой добычей и простой точкой доступа к ИТ-системам компании. Как именно это происходит и какие пароли злоумышленникам не по плечу, рассказываем ниже.

По данным центра мониторинга и реагирования на кибератаки Solar «Ростелеком», подбор учетных данных применяется в 18% атак и стоит на третьем месте по популярности среди прочих методик хакеров. Многие пользователи уверены, что их аккаунт не может заинтересовать злоумышленников, особенно если речь идет о корпоративной «учетке». На самом деле хакера интересует абсолютно любой аккаунт, который поможет ему проникнуть во внутреннюю сеть той или иной компании, закрепиться в ней, развить атаку и впоследствии украсть конфиденциальные данные или получить контроль над ИТ-инфраструктурой организации.

Для проведения одних атак используются ошибки в разработке программного обеспечения, из-за которых система не блокирует многочисленные неправильные попытки ввода учетных данных. Для других – недостаточная осведомленность пользователей в вопросах создания и управления паролями.

Наиболее распространенным недостатком в механизмах аутентификации внешних систем и приложений стало отсутствие защиты от атак подбора учетных данных. Он был обнаружен в 46% исследуемых систем. В них, в частности, не отслеживалось и не ограничивалось количество неудачных попыток аутентификации, отсутствовали временные задержки между попытками ввода пароля.

Также у 21% компаний была слабая парольная политика, то есть пароли не соответствовали современным требованиям по длине и набору символов. А ведь именно парольные политики не дают пользователям создавать простейшие комбинации.

К сожалению, не все проблемы по защите систем и данных решаются на стороне разработчиков и администраторов. Важную (если не ключевую) роль здесь играют сами пользователи. Проводя работы по тестированию на проникновение, эксперты «Ростелеком» часто видят:

- использование простых словарных паролей (например, !QAZ2wsx, February2020). Повторимся, что пароль может отвечать всем требованиям парольной политики, но все еще быть слабым, поскольку присутствует в публичных словарях;

- использование паролей по умолчанию. Учетные данные «admin:admin» пока не ушли в прошлое, хотя и звучат как шутка.

- использование имени пользователя в качестве пароля. Несомненно, пароль, совпадающий с логином, легко запомнить. При этом он может быть длинным, со специальным символом, добавлением цифры в конец либо взамен одной из букв, но для злоумышленника это все равно выглядит так: «нашел имя пользователя – пароль в подарок»;

- использование одного пароля для нескольких учетных записей. Именно эта ошибка позволяет злоумышленниками проводить атаки Credential Stuffing (когда для взлома аккаунта используются учетные данные, украденные ранее на других сервисах). Так что повторное использование пароля может стать для хакера универсальным ключом от всех «дверей»;

- создание паролей по шаблону (например, SomeGoodLongPass1, SomeGoodLongPass2 и т.д.). Использование шаблонов чаще встречается в системах, где требуется периодическая смена пароля. Эта проблема чем-то схожа с использованием одной и той же комбинации на разных ресурсах: если пароль был украден ранее, то злоумышленник сможет просто менять цифру и легко получать доступ к «учетке» пользователя.

Таким образом для защиты систем и данных требуются комплексные действия со стороны как разработчиков, так и пользователей. Первым – следует выстраивать ИБ-защиту с учетом возможных атак подбора данных, внедрять двухфакторную аутентификацию и помогать пользователям придумывать сложные и надежные комбинации, прописывая необходимые требования в политиках безопасности. А вторым – стоит использовать генераторы паролей, не ориентироваться на минимальные парольные требования и помнить, что для злоумышленников нет «неинтересных» аккаунтов – любой может попасть в фокус их внимания.

Рекомендуем

Важно и интересно

Видеоновости

закрыть