Эксперт Хомутов: Россияне лишились миллиардов рублей из-за простых паролей

Более половины интернет-пользователей в России используют пароли, которые легко поддаются подбору. Это происходит даже несмотря на рост числа кибератак.

Современные графические процессы подбирают до 70% доменных паролей всего за полчаса. Из-за этого даже сложные на первый взгляд комбинации бывают уязвимыми. Об этом рассказал руководитель департамента киберразведки компании "Бастион" Константин Ларин.

Так, 45% украденных паролей формально соответствовали требованиям к сложности, однако на практике оставались уязвимыми к автоматизированному подбору. Кроме того, порядка 10% сотрудников компаний по-прежнему применяют базовые комбинации, что значительно повышает риски для безопасности корпоративных данных.

До трети критичных киберинцидентов в российских организациях связаны с компрометацией паролей. Хакеры часто используют учетные данные привилегированных пользователей и системных администраторов - такой доступ дает им широкие возможности в инфраструктуре бизнеса.

Соблюдение требований, как правило, носит формальный характер: пользователи добавляют заглавные буквы, цифры и специальные символы, но при этом продолжают создавать пароли на основе предсказуемых шаблонов (даты, базовые слова, очевидные последовательности вроде "qwerty", "asdf" и т.д.). "Даже если пароль выглядит сложным с точки зрения политики безопасности, он может оставаться словарным - например, в виде комбинаций вроде "Zima2026!!". Такие варианты с популярными словами, датами и типовыми заменами символов давно входят в списки мошенников и успешно используются при переборе и восстановлении учетных записей", - сказал Ларин.

Вычислительные мощности только растут, поэтому на сегодняшний день защищенным от перебора считается пароль, состоящий не менее чем из 12 символов, включающих большие и маленькие буквы, цифры, спецсимволы, отметил консультант по кибербезопасности компании F6 Сергей Золотухин.

Особую опасность, добавил Ларин, представляют утечки баз данных. Даже если хранить пароли в хэшированном виде, злоумышленники все равно могут восстановить оригинальные комбинации, если они недостаточно устойчивы.

Причем переиспользование паролей часто позволяет преступникам получить доступ сразу к нескольким сервисам - от электронной почты до интернет-банкинга.

Дополнительный фактор риска - это отсутствие двухфакторной аутентификации. Вероятность успешного захвата аккаунта при ее отключении увеличивается в несколько раз. Особенно это касается случаев, когда пароль уже попадал в известные базы утечек.

Для того, чтобы повысить уровень защиты, Ларин посоветовал избегать предсказуемых сочетаний и персональных данных, отказаться от переиспользования комбинаций между сервисами, а также по возможности применять кроссплатформенные менеджеры паролей, которые автоматически генерируют и хранят надежные комбинации. Хранение паролей в браузерах, по мнению собеседника, рисково: вредоносные программы при заражении устройства могут извлекать данные из встроенных хранилищ.

По словам Золотухина, современное ПО действительно эффективно предотвращает подбор паролей. Это может быть использование антиботов при доступе к онлайн-ресурсам и такой очевидный способ, как ограничение попыток ввода пароля.

Беспарольные методы аутентификации вроде биометрии и аппаратных токенов уже набирают популярность, однако большое количество пар логин-пароль доступны преступникам в уже слитых базах данных или в новых утечках.