iTEYE

Корпоративная безопасность на грани провала

2 июля 2009

Исходя из статистических данных и личного наблюдения, я пришел к выводу, что в большинстве корпоративных вычислительных сетей (КВС) одним из слабых звеньев, является парольная политика и политика безопасности в целом. И это может привести к утечке информации, важность которой может быть критична.

Вероятность атаки на КВС, где используется аутентификация исключительно по паролю, повышает человеческий фактор. Также статистика показывает, что пользователи, в основном выбирают простые цифровые длинной от шести до восьми символов. Это и понятно: даты рождений в формате ddmmyy или ddmmyyyy и номера телефонов. Также используются в качестве паролей простые последовательности, вроде 12345 и т.д.

Вот список наиболее типичных паролей для Российского сегмента: 1234567, 12345678,123456, 12345, 7654321, qweasd, 123, qwerty, 123456789. Общая доля конкретно этих паролей приближается к 9% от общей массы. А 9% это много. Учитывая, что большинству пользователей сложно запомнить даже имя своего ящика на mail.ru, то, что уж тут говорить об устойчивой защите паролем.

Однако стоит отметить еще и тот фактор, что в зависимости от национальности пользователей, слабые меняются в соответствии с географическим местоположением пользователя. Так, например, в Соединенных штатах привыкли использовать слово «пароль» (password) и pussy, для своих паролей. И в рейтинге эти слова занимают достаточно высокие позиции. Однако в России эти почти не используются, а предпочитают размещение близлежащих символов на клавиатуре. Например «zxcvb» или 12345.

Стоит ли вводить ограничения на используемый пароль? Без всяких сомнений — да. Если таких ограничений нет, то, скорее всего, сидящий за компьютером просто нажмет enter, оставив пароль пустым. (Скажите, Вы часто встречали на домашних компьютерах с Windows98 или XP запароленные аккаунты пользователей?) Так вот по привычке пользователям проще вовсе не использовать пароль.

К чему это может привести показал наглядно вирус NetWorm.Win32.KiDo, который содержал наиболее используемые для перебора с логином администратора.

показыть скрытый текст

Статистика по используемым наборам символов в паролях такова, что на первом месте идут только цифры, далее символы английского алфавита в нижнем регистре, символы английского алфавита в нижнем регистре и цифры, символы английского алфавита в разных регистрах и цифры, символы английского алфавита в разных регистрах, символы английского алфавита в верхнем регистре и цифры, символы русского алфавита в нижнем регистре.

Самыми популярными паролями являются числовые. Стоит также отметить, что перебор таких паролей достаточно прост и займет у неподготовленного человека всего несколько минут. (Естественно зависит от длинны)

У российских пользователей в большинстве случаев не превышают 8-ми символов. И в реальных условиях легко скомпрометировать систему в этом случае. Также в 15% совпадает с записями в публичных словарях, что также позволяет узнать их методом перебора. Существует также еще один показатель колеблющейся на отметке в 5%, который говорит о том, что пароль частично или полностью совпадает с именем пользователя. Подобная ситуация в значительной степени упрощает процесс реализации несанкционированного доступа злоумышленнику, действующему удаленно.

Практика утверждает, что при переборе по словарю, процент удачного подбора пароля снижается от 100% до 5% при количестве символов от 0 до 10. Это говорит о том, что использование стандартной политики паролей в Windows, в значительной степени затрудняет успешный подбор паролей по словарю.

Говоря о «слабых» паролях в соответствии с требованиями стандарта по защите информации платежных карт PCI DSS, можно говорить о том, что 80% используемых паролей пользователями в корпоративном секторе не соответствуют требованиям.

Какие можно сделать выводы?

technology,

Leave a Reply

Скидки до 5% на заказ хостинга!