Большинство Интернет-пользователей в наши дни до сих пор не до конца понимают всю важность использования эффективных механизмов для создания надежных паролей. Чтобы понять, насколько велики риски, исследователи Технического университета штата Вирджиния (США) и аналитики Dashlane провели одно из крупнейших количественных исследований по использованию одинаковых паролей и их модификаций на разных сайтах.

Изучив базу данных свыше 28 миллионов пользователей и их 61 миллион паролей, исследователи обнаружили тревожную статистику: 52% исследованных пользователей имели одинаковый пароль (или очень похожий и легко взламываемый) для различных сервисов. Вред, который может причинить данная плохая привычка для бизнес-среды, вполне очевиден, особенно, если в компании уже произошел инцидент нарушения информационной безопасности, в результате которого хакерам попал в руки пароль, используемый (даже с незначительными изменениями) на других веб-сайтах или для других бизнес-инструментов. С помощью этой информации хакеры смогут поставить под угрозу безопасность многочисленных сервисов на рабочем месте.

Использование одинакового или слегка измененного пароля для других сервисов – это очень опасная практика

Исследование The Next Domino to Fall: Empirical Analysis of User Passwords across Online Services показывает, что использование одинакового или слегка измененного пароля для различных сервисов является относительно распространенной практикой, несмотря на постоянные предупреждения со стороны ИТ-сообщества. Из 28,8 миллионов исследуемых пользователей, 38% использовали одинаковый пароль для двух различных онлайн-сервисов, и 21% из них вносили небольшие изменения в пароль при регистрации на новом сервисе. Исследование также показало, что пользователи, которым требуется использовать больше паролей, чаще использовали одинаковый или слегка измененный пароль.

Исследование показало, что пользователи чаще всего используют одинаковые или слегка измененные пароли для онлайн-шоппинга и аккаунтов электронной почты (сервисы, которые имеют дело с конфиденциальной информацией):  85% в случае с онлайн-шоппингом и 62% в случае с электронной почтой. Такая практика сильно беспокоит, т.к. обычно онлайн-магазины хранят данные по банковским картам и адресам своих покупателей. В случае с электронной почтой все еще более опасно: хакеры могут использовать корпоративные адреса электронной почты для сброса регистрационных данных у других персональных аккаунтов (такие как приложения для онлайн-банкинга).

Проблема усугубляется, когда мы принимаем во внимание риск, связанный с повторным использованием паролей для профессиональных сервисов, которые также включают конфиденциальную информацию, принадлежащую как пользователю, так и компании. ИТ-специалисты должны быть уверены, что на рабочем месте поддерживается «гигиена» паролей, снижая бремя для сотрудников и четко объясняя им опасности и ущерб, который может быть причинен компании в результате такой плохой практики или банальной лени. Использование простых, одинаковых или слегка измененных паролей для различных сервисов – это опасность сама по себе, но она становится еще ужасней, если сотрудники, из-за отсутствия лучших вариантов, записывают свои пароли в блокноте или на бумажке, оставляя на своем столе.

Исследование также показало, что пользователи повторно используют пароли, которые были украдены при утечках данных, даже в течение нескольких лет после инцидента. Это означает, что пользователи не спешат менять свои пароли (они уже использовались и были украдены!) для других сервисов и приложений, подвергая риску всю свою персональную информацию. Свыше 70% пользователей использовали скомпрометированный пароль для других сервисов в течение года после утечки данных. Что еще хуже: 40% пользователей повторно использовали пароли, которые были украдены более чем за 3 года до этого. Это показывает, что утечка данных представляет серьезную опасность, и любая задержка в реакции на кражу или в защите пользователя может играть только на руку злоумышленникам.

Советы по поддержанию безопасности паролей в компании

Panda Security беспокоится о конфиденциальности ваших данных, связаны ли они с работой или домом. Вот почему, чтобы справиться со сложностью в запоминании бесконечного числа регистрационных данных, мы составили список советов для обеспечения вашей безопасности:

1. Необходимо постоянно обучать сотрудников политике использования паролей.Если персонал будет более осведомлен, то можно ожидать, что:
   • Предсказуемые комбинации символов (например, 12345 или qwerty) не используются для изменения существующего пароля.
   • Пароли для разных профессиональных сервисов всегда будут отличаться друг от друга и не дублироваться.
   • Персональные пароли не будут использоваться для служебных сервисов и наоборот.
2. Такие веб-сайты как Have I been Pwnedпозволяют пользователям следить за безопасностью своей почты и паролей, и могут выступать в качестве дополнительного шага в рамках политики безопасности. Когда пользователь или компания вовлечены в кибер-инцидент, то необходимо СРОЧНО сбросить все пароли, также убедиться, что старые пароли больше не используются на других сервисах.
3. Такие пароли менеджеров как LastPassили DashLane могут быть хорошими инструментами для решения этой сложной задачи, а также могут позволять ИТ-сотрудникам вернуть контроль над политиками безопасности. Эти инструменты заботятся не только о запоминании паролей, но они также хранят их, обеспечивают их безопасность и говорят вам, насколько они сложны.
4. Такие решения с опциями расширенной информационной безопасности как Panda Adaptive Defenseпозволяют вам непрерывно анализировать ваши системы и успешно обнаруживать кейлоггеры и другие типы вредоносных программ, предупреждая о любых попытках кражи любых регистрационных данных.

Источник статьи: 52% of users reuse their passwords

Panda Security в России

 +7(495)105 94 51, marketing@rus.pandasecurity.com

 https://www.cloudav.ru