Результаты недавнего исследования компании Digital Security, специализирующейся на анализе защищенности систем, свидетельствуют, что крупнейшие интернет-сервисы не уделяют должного внимания парольным политикам. Иван Юшкевич, исследователь Digital Security, проанализировал 80 крупнейших ресурсов различного назначения: почтовые сервисы; социальные сети; электронная коммерция; платежные сервисы; игровые сервисы; криптовалюта; хранение файлов и совместная разработка.
Выяснилось, что в большинстве случаев существующие настройки ресурсов дают пользователю возможность обойтись комбинацией цифр и букв, которую легко может подобрать злоумышленник. Меньше других о безопасности своих подписчиков заботятся файловые хранилища и социальные сети. Также слабые парольные политики применяют игровые ресурсы, сервисы электронной коммерции и отдельные почтовые системы.
Строгий подход к выбору пароля применяют сервисы криптовалюты, платежные системы и отдельные «почтовики». Исследование показало, что только 2 из 10 широко известных ресурсов разного профиля используют строгую политику аутентификации. Лучшими оказались такие популярные ресурсы, как Gmail, Apple Store, MEGA, WebMoney, eBay. Самые слабые парольные политики – у социальной сети Meetme, почтового сервиса Pobox, виртуальных магазинов Aliexpress иAlibaba, а также файловых хранилищ Justcloud и Box. Полный текст исследования доступен по ссылке:http://dsec.ru/upload/med
Подобрав пароль и получив доступ к чужому аккаунту, злоумышленник иногда может завладеть следующей информацией: персональные данные; платежные данные (история операций, платежная информация и др.); переписка, включающая файлы с копиями паспортов, приватные фотографии и другие критичные документы. Далеко не у всех (https://twofactorauth.org
Захватив контроль над пользовательским ресурсом, атакующий затем может задействовать его для рассылки спама, вирусов, атаки на других пользователей: в частности, попросить всех друзей по социальной сети перевести деньги на номер телефона под каким-нибудь предлогом.
Не стоит забывать и о том, что компрометация даже одного аккаунта может привести ко взлому более критичных данных того же пользователя (многие применяют один пароль для разных сервисов). Помимо этого, через почтовый ящик возможен доступ к разным ресурсам, которые привязаны к нему с помощью функционала восстановления пароля. Цепочка аккаунтов может рухнуть, как карточный домик, если, допустим, будет восстановлен пароль к аккаунту в соцсети, а через него успешно совершена авторизация на тех сайтах, которые используют для аутентификации страницу пользователя в Facebook, ВКонтакте, LinkedIn и т. д.
Такое отношение к безопасной аутентификации можно объяснить погоней сервисов за аудиторией. Здесь необходимо выбрать «золотую середину»: слишком сложные правила заставят потратить ощутимо больше времени на регистрацию, что может отпугнуть пользователя. С другой стороны, полное отсутствие политик обязательно повлечет за собой возникновение инцидентов.
Советы пользователю по созданию пароля
· Пароль должен быть длинным – желательно, больше 10 символов.
· Пароль должен содержать заглавные символы, цифры и спецсимволы.
· Пароль не должен быть похожим на логин или почту пользователя.
· Пароль не должен быть похожим на словарные пароли.
· Используйте разные пароли для различных сервисов.
Советы разработчику сервиса
· Выдвигать жесткие требования к пользовательскому паролю:
a. Больше 8 символов длиной;
b. Длина не ограничена;
c. Пароль должен содержать цифры, заглавные и строчные буквы и спецсимволы;
d. Пароль не должен быть похожим на логин;
e. Сервис должен иметь базу словарных паролей;
f. Сервис должен также давать общие рекомендации пользователям.
· Строго придерживаться выдвигаемых правил.
· Не позволять регистрироваться со словарными паролями – например, с использованными в этом исследовании.
Рекомендуется использовать для проверки большую базу стандартных комбинаций. Пример: пароль P@ssword123. Сайтhttps://howsecureismypass
