Уязвимости парольной аутентификации: дешево – хорошо не бывает
На днях компания Positive Technologies, разработчик систем мониторинга информационной безопасности, опубликовала детальный отчет о распространенных ошибках парольной политики, используемой для доступа к информационным ресурсам в корпоративных сетях российских компаний. Исследование Positive Technologies использует обширный набор источников и основано на «живых» данных, что позволяет делать выводы о реальном состоянии используемых систем доступа в российских компаниях.
Примитивный способ парольной аутентификации с использованием пары «логин-пароль» является наиболее простым, дешевым и, как следствие, распространенным методом подтверждения «подлинности» субъекта аутентификации в большинстве информационных систем. Эксперты Positive Technologies проанализировали 185 тысяч паролей, используемых российскими пользователями для доступа к различным информационным системам, порталам, базам данных. Результаты исследований, закреплённые в консолидированном отчете «Анализ проблем парольной защиты в Российских компаниях», приводят к неутешительным выводам. Основными «слабыми» местами парольного способа аутентификации являются:
- Использование нестойких паролей, низкое качество парольных комбинаций. Как показало исследование, статистика используемых российскими пользователями паролей значительно отличается от зарубежной, опубликованной в последних западных исследованиях. Российский список паролей на 50% состоит из расположенных рядом символов (1234567, qwerty и т.д.), тогда как западные пользователи больше склонны употреблять слова английского языка (password, love и т.д.). Показательно, что из 185 тысяч проанализированных паролей не было обнаружено ни единого смешанного пароля, использующего латинские и кириллические символы.
Несоблюдение элементарных требований к парольным комбинациям подвергает риску всю систему корпоративной информационной безопасности. Эту проблему могло бы снизить внедрение несложных политик безопасности, не позволяющих применять пароли длиной менее 8-10 символов. Согласно исследованию, вероятность компрометации пароля из 4-ех символов равна ~97%, а при условии использовании 9-тисимвольного пароля этот показатель почти в 6 раз меньше и составляет ~17%.
Добавление правил о том, что пароль не должен содержать комбинации из соседствующих символов и символов одного регистра, позволяет существенно повысить уровень защиты доступа. Однако, судя по всему, администраторы не утруждают себя вводом даже таких простых требований. - Халатное отношение к вопросам безопасности со стороны администраторов. Парадоксальные выводы были сделаны при анализе паролей администраторов информационных систем. Несмотря на использование паролей с большей длиной, администраторы в 15% случаев выбирают «словарные» пароли либо пароли, совпадающие с именем пользователя (10%), а в 2% случаев пароль отсутствует вовсе. Подбор такого пароля методом словарной атаки, как правило, не составляет особого труда и не занимает много времени. При этом, пароль администратора, как привилегированного пользователя, позволяет иметь фактически неограниченный доступ ко всем типам данных, включая конфиденциальную информацию, персональные данные сотрудников и документы, содержащие коммерческую тайну. Риск, которому подвергает компанию рядовой пользователь, применяя нестойкий пароль, безусловно, высок. Но он не идёт ни в какое сравнение с тем ущербом, который может понести компания вследствие несанкционированного доступа с последующей утечкой конфиденциальных данных «от рук» администратора.
- Несоответствие паролей стандартам безопасности. Следуя актуальным тенденциям перехода российских компаний к применению международных стандартов, в отчете рассматривается проблема использования паролей в контексте соответствия требованиям стандарта по защите информации в индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard). Как известно, PCI DSS был создан в связи с ростом краж и утечек конфиденциальной информации, в частности, реквизитов доступа к счетам пользователей платёжных систем. Данный стандарт является обязательным во всем мире, в том числе на территории стран CEMEA куда входит и Россия. Действие Стандарта PCI DSS распространяется на всех тех, кто передает, обрабатывает и хранит данные держателей карт (VISA, MasterCard, American Express).
По результатам исследования Positive Technologies, 74% паролей, используемых в корпоративном секторе, не соответствуют уровню безопасности, декларируемому PCI DSS. Из этого следует, что теоретически больше половины финансово-кредитных организаций, попавших в базу исследования, не смогли бы пройти обязательную ежегодную процедуру аудита на соответствие PCI DSS, а это повлекло бы за собой штрафные санкции со стороны международных платежных систем.
Резюмируя результаты исследования, можно утверждать, что уровень защищенности корпоративных информационных систем отечественных компаний по-прежнему остается очень низким. Более того, он в значительной степени зависит от «человеческого фактора». Пренебрегая элементарными политиками безопасности, администраторы оставляют на совести пользователя обеспечение защиты данных, с которыми тот работает.
Какие меры необходимо принять, для усиления надёжности аутентификации пользователей?
Обеспечение надёжной процедуры аутентификации в рамках информационной системы компании является первичной платформой для дополнительных защитных мер, таких как безопасный доступ к базам данных, порталам, обеспечение контроля физического доступа и доступа к приложениям. Специалисты компании «Аладдин Р.Д.» – эксперты в области аутентификации – рекомендуют решать проблему аутентификации с помощью токенов – электронных ключей в виде USB-устройств, смарт-карт или различных комбинированных моделей.
На основе аппаратных токенов созданы специальные решения для корпоративного использования, позволяющие решить проблему «слабых» паролей в операционных системах типа Microsoft Windows. В частности, программно-аппаратное решение «Аладдин Р.Д.» eToken Network Logon позволяет любой компании плавно перейти на использование системы двухфакторной аутентификации на базе USB-ключей eToken. Все имена и пароли сохраняются в памяти eToken, что исключает риск подсматривания их злоумышленником. Дополнительно можно использовать встроенный в eToken Network Logon генератор паролей для создания сложных комбинаций, снижающих риск атаки методом подбора. Сгенерированный пароль автоматически записывается в память электронного ключа eToken и надежно сохраняется в ней.
eToken Network Logon является универсальным продуктом: его можно использовать на изолированном компьютере, в небольшой рабочей группе, в простой или сложной доменной инфраструктуре. В каждой среде eToken Network Logon предоставляет наилучший с точки зрения безопасности и удобства способ аутентификации, сводя на нет риск компрометации паролей.