| 0 |
|
Исследователи Технического университета штата Вирджиния (США) и аналитики Dashlane провели одно из крупнейших количественных исследований по использованию одинаковых паролей и их модификаций на разных сайтах, сообщает Panda Security.
Изучив базу данных свыше 28 млн пользователей и их 61 млн паролей, исследователи обнаружили тревожную статистику: 52% исследованных пользователей имели одинаковый пароль (или очень похожий и легко взламываемый) для различных сервисов. Вред, который может причинить данная плохая привычка для бизнес-среды, вполне очевиден, особенно, если в компании уже произошел инцидент нарушения информационной безопасности, в результате которого хакерам попал в руки пароль, используемый (даже с незначительными изменениями) на других веб-сайтах или для других бизнес-инструментов. С помощью этой информации хакеры смогут поставить под угрозу безопасность многочисленных сервисов на рабочем месте.
Исследование The Next Domino to Fall: Empirical Analysis of User Passwords across Online Services показывает, что использование одинакового или слегка измененного пароля для различных сервисов является относительно распространенной практикой, несмотря на постоянные предупреждения со стороны ИТ-сообщества. Из 28,8 млн исследуемых пользователей, 38% использовали одинаковый пароль для двух различных онлайн-сервисов, и 21% из них вносили небольшие изменения в пароль при регистрации на новом сервисе. Исследование также показало, что пользователи, которым требуется использовать больше паролей, чаще использовали одинаковый или слегка измененный пароль.
Исследование показало, что пользователи чаще всего используют одинаковые или слегка измененные пароли для онлайн-шоппинга и аккаунтов электронной почты (сервисы, которые имеют дело с конфиденциальной информацией): 85% в случае с онлайн-шоппингом и 62% в случае с электронной почтой. Такая практика сильно беспокоит, т.к. обычно онлайн-магазины хранят данные по банковским картам и адресам своих покупателей. В случае с электронной почтой все еще более опасно: хакеры могут использовать корпоративные адреса электронной почты для сброса регистрационных данных у других персональных аккаунтов (такие как приложения для онлайн-банкинга).
Проблема усугубляется, когда мы принимаем во внимание риск, связанный с повторным использованием паролей для профессиональных сервисов, которые также включают конфиденциальную информацию, принадлежащую как пользователю, так и компании. ИТ-специалисты должны быть уверены, что на рабочем месте поддерживается «гигиена» паролей, снижая бремя для сотрудников и четко объясняя им опасности и ущерб, который может быть причинен компании в результате такой плохой практики или банальной лени. Использование простых, одинаковых или слегка измененных паролей для различных сервисов — это опасность сама по себе, но она становится еще ужасней, если сотрудники, из-за отсутствия лучших вариантов, записывают свои пароли в блокноте или на бумажке, оставляя на своем столе.
Исследование также показало, что пользователи повторно используют пароли, которые были украдены при утечках данных, даже в течение нескольких лет после инцидента. Это означает, что пользователи не спешат менять свои пароли для других сервисов и приложений, подвергая риску всю свою персональную информацию. Свыше 70% пользователей использовали скомпрометированный пароль для других сервисов в течение года после утечки данных. Что еще хуже: 40% пользователей повторно использовали пароли, которые были украдены более чем за 3 года до этого. Это показывает, что утечка данных представляет серьезную опасность, и любая задержка в реакции на кражу или в защите пользователя может играть только на руку злоумышленникам.
В Panda Security отмечают, что такие веб-сайты как Have I been Pwned позволяют следить за безопасностью своей почты и паролей, и могут выступать в качестве дополнительного шага в рамках политики безопасности. Когда пользователь или компания вовлечены в кибер-инцидент, то необходимо срочно сбросить все пароли, а также убедиться, что старые пароли больше не используются на других сервисах.
Менеджеры паролей могут быть хорошими инструментами для решения этой сложной задачи, а также могут позволять ИТ-сотрудникам вернуть контроль над политиками безопасности. Эти инструменты заботятся не только о запоминании паролей, но они также хранят их, обеспечивают их безопасность и говорят вам, насколько они сложны.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
