Небезопасная защита
Пароли — уязвимое место в киберзащите компаний
2021 год стал годом кибератак на российские корпорации: их количество выросло как минимум вдвое по сравнению с прошлым годом, сообщали компании по информационной безопасности. Многие из успешных атак начинались со взломов путем подбора паролей к аккаунтам сотрудников предприятия. Пароли — устаревающий способ защиты данных, и организации начинают постепенный отказ от них.
Количество кибератак на российские организации в 2021 году увеличилось на 54% год к году и составило в среднем 1,2 тыс. атак в неделю, сообщала Check Point. Количество DDoS-атак на российские компании по итогам 2021 года вырастет не менее чем в два раза по сравнению с аналогичным периодом прошлого года, прогнозируют в «Ростелеком-Солар». Количество атак вирусов-шифровальщиков на организации в России в 2021 году увеличилось более чем на 200%, а 16% компаний платили выкуп хакерам, сообщал “Ъ” 9 ноября.
Сложные атаки часто начинаются с проникновения в организацию через наиболее уязвимые места в ее киберзащите. Одним из них являются пароли. Так, в декабре сообщество «Яндекс Go» во «ВКонтакте» было взломано предположительно через подбор пароля к аккаунту администратора, в результате чего подписчики потеряли деньги (см. “Ъ” от 21 декабря).
Взлом паролей занимает центральное место во всей экосистеме онлайн-преступлений, говорили эксперты Центра кибербезопасности Всемирного экономического форума (ВЭФ) Алоис Цвингги и Адриен Ожи на форуме в Давосе. Каждый год происходит 18 млрд атак на пароли корпоративных и пользовательских учетных записей, сообщала Microsoft. В 2020–2021 годах подбор паролей становился причиной почти половины (46%) случаев успешных взломов компьютеров в России, подсчитали в Bi.Zone.
Подбирать пароли злоумышленники могут с помощью специального софта, ведь, по данным Microsoft, 40% граждан меняли пароли на похожие по определенной формуле, например Fall2021 на Winter2021. Также для подобных взломов используются специальные сервисы, в которых можно посмотреть пароли, которые когда-либо утекали со связанных e-mail-адресов, рассказал эксперт Softline, спикер курса «Цифровая безопасность для бизнес-лидеров» Денис Тепляков. Каждый десятый пользователь использует одни и те же пароли на разных сайтах, сообщала Microsoft.
«Усложнение требований к паролям приводит к тому, что пользователи не хотят придумывать новый пароль каждый раз, при этом растет количество ресурсов, где требуется пароль. В итоге человек начинает использовать один и тот же пароль к большому количеству ресурсов»,— пояснил Денис Тепляков.
Для обогащения баз и сервисов с утекшими паролями хакеры проводят атаки, нацеленные именно на сбор логинов и паролей, например о подобной атаке против сотрудников госорганов России “Ъ” сообщал 22 сентября. Использование менеджера паролей, который генерирует надежные комбинации и хранит их в своей базе, также нельзя назвать безопасным, так как их данные тоже могут утечь — например, весной был взломан менеджер паролей Passwordstate (“Ъ” писал об этом 27 апреля).
«Пока пароли еще актуальны и отказаться от них сложно, но будущее должно быть без паролей»,— уверен Денис Тепляков. Некоторые компании уже начали постепенный отказ от паролей. Так, Microsoft с 15 сентября дала пользователям возможность отключить пароль в своей учетной записи и использовать для входа приложения Microsoft Authenticator и Windows Hello, ключ безопасности или код подтверждения, отправленный на телефон или электронную почту. Многофакторная аутентификация, которая сейчас уже широко распространена,— одна из ступеней к отказу от классических паролей, отмечает Денис Тепляков. Узнать подробнее про следующие ступени на этом пути и приблизить будущее без паролей можно на лекциях открытого курса Университета «Коммерсантъ» и Microsoft.