890x80

Киберпреступникам наруку: более 80% компаний нарушают требования к паролям

Новости. Экономика
14:44, 04 Июня 2020
фото: © Ростелеком
Загрузка...

Компания "Ростелеком-Солар" провела исследование, которое показало, что около 80% компаний не соблюдают базовых правил парольной защиты.

При этом практически в каждой тестируемой корпоративной сети специалистам по анализу защищенности удалось получить права администратора. Реальному киберпреступнику это позволило бы скрытно развивать атаку, с большой вероятностью способную привести к краже финансовых средств или конфиденциальной информации.

Эксперты предупреждают: недостатки, связанные с паролями, могут привести к полному доступу к внутренней сети и утечке критически важных для организации конфиденциальных данных. Особенно опасно то, что использование слабых мест в своих интересах не требует со стороны злоумышленников специальных технических средств и позволяет им долго оставаться незамеченными внутри корпоративной сети. 

Самой распространенной ошибкой оказались пароли, установленные по умолчанию, слабые и легко подбираемые пароли пользовательских учетных записей (например, "admin/admin", "admin/12345" и т.п.), а также отсутствие блокировок учетных записей, что позволяет проводить атаки на подбор паролей.

Иногда сотрудники устанавливают одинаковые пароли учетных записей с различными правами.

Например, в целях безопасности системным администраторам выдаются две учетные записи: пользовательская, в которой он работает по умолчанию, и привилегированная административная, используемая по мере необходимости. Однако часто администраторы в обоих случаях ставят одинаковые пароли, что сводит на нет принятые меры безопасности. Подобные недостатки эксперты "Ростелеком-Солар" эксплуатируют в большинстве исследуемых корпоративных сетей.

Еще одна распространенная ошибка – хранение учетных данных на общедоступных ресурсах в корпоративной сети или на самих ПК.  Например, пароли, которые рядовые записывают в текстовых файлах на рабочих компьютерах. Если злоумышленник попадает на машину пользователя и находит такой документ, он моментально получает управление привилегированными учетными записями, проникая вглубь компании.

Также, к сотрудникам не предъявляются требования по длине создаваемых паролей и наличию в них спецсимволов (строчных и прописных букв, цифр, знаков). Ряд недостатков связан с частотой смены паролей: такое требование в одних компаниях отсутствует, а в других чрезмерно усилено (например, смена пароля каждый месяц), что обычно провоцирует сотрудников использовать слишком простые сочетания символов и записывать их на ненадежных носителях.

Решить проблему, по мнению экспертов компании, можно введением двухфакторной аутентификации пользователей. Однако на данный момент из-за сложности организации и высокой стоимости услуги многие компании этого не делают. Более доступным вариантом является обучение сотрудников основам кибергигиены: объяснение правил создания надежных паролей и их безопасного хранения, в том числе с использованием специальных баз и программ.

На правах рекламы

Подписаться
А вы знали? У нас есть свой Телеграм-канал.
Все главное - здесь: #stolicaonego
Выбор читателей

Аналитика

03.07.2020 13:14
Политкухня
Внеочередная сессия парламента Карелии приняла сразу в двух чтениях закон об объединении Сортавальского и Хелюльского городских поселений.
02.07.2020 12:55
30.06.2020 12:20

Чтиво

02.07.2020 14:45
Без политики
В самом разгаре лето – пора отпусков: кто-то уже собирается на отдых на курорт, кто-то планирует провести отпуск на любимой даче, а кто-то покорять окрестности своего города верхом на велосипеде.