Сетевая безопасность — простые пароли

26.01.2010

Доктор Хауз говорит: «все лгут», а я бы еще добавил «и грешат». Мы все имеем маленькие грешки:) но речь пойдет не о моральных принципах, речь пойдет об одном маленьком но, пожалуй, всеобщем грешке: простых паролях.

Каюсь, и сам зачастую не утруждаю себя выдумыванием сложных паролей или их многообразием, во времена своей юности когда я изучал Ит безопасность с другой стороны баррикад, я не раз заламывал разные сервера только потому что администратор не придумал (не захотел, забыл ит.п.) более сложный пароль чем свой ник или дата рождения. И уж я был нисколько не удивлен, когда при попытке вспомнить свой логин и пароль на один старый форум, подобрал пароль к чьей-то чужой учетной записи.

Последнее исследование, проведенное компанией IMPREVA (http://www.imperva.com/news/press/2010/01_21_Imperva_Releases_Detailed_Analysis_of_32_Million_Passwords.html) показало, что большая часть пользователей использует в социальных сетях совсем уж простые пароли:

1. 123456

2. 12345

3. 123456789

4. password

5. iloveyou

6. princess

7. rockyou (этот вариант популярен у пользователей rockyou.com)

8. 1234567

9. 12345678

10. abc123

От себя добавлю, что явно забыли qwerty, qwerty12345, qazwsx, а также сложно анализируемые, но от этого не менее часто употребляемые: пароль равный логину, пароль из даты рождения, пароль равный нику и собственное имя.

Казалось бы, какая мелочь, однако среднестатистическому хакеру этого может быть достаточно, чтобы просто «пошалить» в вашем компьютере (сети, блоге и т.п.) а может и снять все деньги со счетов и использовать ваш компьютер как сервер для распространения вирусов и порнографии. На сегодняшний день, благодаря социальным сетям и неосторожности пользователей в сети можно найти практически любую информацию пригодную для атаки с использованием социальной инженерии. И это отнюдь не нагнетание обстановки, просто этому среднестатистическому хакеру просто нет дела до такого же среднестатистического пользователя, это и спасает ситуацию, так сказать.

Еще я добавлю: используйте сложные пароли, максимальные по длине и насыщенности цифро-буквенно-символьными сочетаниями. В окружении AD обязательно ставьте требование о сложных паролях и используйте сложную парольную политику. Обязательно отделяйте рабочие УЗ и пароли от общедоступных сетевых данных. Ну и просто не надейтесь на Авось.

 

Комментариев нет

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *