Недостатки однофакторного способа аутентификации ("логин - пароль")
неоднократно описывались в научно-популярной и специализированной
литературе, однако данный способ до сих пор является самым простым,
дешевым и наиболее распространенным методом осуществления
аутентификации пользователя в большинстве информационных систем.
Эксперты
компании Positive Technologies в ходе тестирований на проникновение,
аудитов безопасности и других работ проанализировали 185 тысяч паролей,
используемых пользователями для доступа к различным корпоративным
системам, и по результатам выпустили отчет "Анализ проблем парольной
защиты в российских компаниях".
Как показало исследование,
статистика используемых российскими пользователями паролей значительно
отличается от зарубежной. Российский список наиболее распространенных
паролей на 50% состоит из расположенных рядом символов (1234567, qwerty
и т.д.), тогда как западные пользователи больше склонны употреблять
слова английского языка (password, love и т.д.).
Парадоксальные
выводы были сделаны при анализе паролей администраторов информационных
систем. Несмотря на использование паролей с большей длиной,
администраторы в 15% случаев выбирают "словарные" пароли либо пароли,
совпадающие с именем пользователя (10%), а в 2% случаев пароль
отсутствует вовсе.
В отчете рассматривается проблема
использования "слабых" паролей в контексте соответствия требованиям
стандарта по защите информации в индустрии платежных карт PCI DSS
(Payment Card Industry Data Security Standard). По результатам
исследования 74% паролей, используемых в корпоративном секторе, не
соответствуют требованиям стандарта PCI DSS.
В исследовании
приведен анализ эффективности различных ограничений на используемые
пароли, таких как контроль минимальной длины и сложности пароля. Так,
применение стандартных ограничений к сложности пароля снижает
вероятность компрометации системы более чем в 10 раз.
По мнению
экспертов компании Aladdin, несоблюдение элементарных требований к
парольным комбинациям подвергает риску всю систему корпоративной
информационной безопасности. Компании, адекватно оценивающие возможный
ущерб вследствие взлома парольных комбинаций, успешно решают проблему
аутентификации с помощью аппаратных токенов - электронных ключей в виде
USB-устройств, смарт-карт или различных комбинированных моделей.
|
Главная 
