Корпоративните политики за сигурност имат нужда от безкомпромисна забрана на лесните пароли, които са и най-често използвани (снимка: CC0 Public Domain)
В някои заведения за бързо хранене достъпът до тоалетната става с парола, която най-често е „123456“. Но това е и втората най-популярна парола за компютърни приложения в света. Не звучи добре, нали? Май е време да я сложим в черния списък. О, да, време е да правим черни списъци на паролите.
На теория би трябвало всички ние да използваме парола, които изглежда приблизително така: s;3HiMom!&%k#$l. В действителност не е така. Даже на тази парола не ѝ стигат няколко знака, за да се счита за прилично надеждна в днешно време.
Най-често срещаните пароли в света
Начело на тазгодишната класация на най-популярните пароли е, познахте, „password”, според подредбата на мениджъра на пароли NordPass. На второ място, както стана дума, е „123456”. Това, впрочем, е победителят на класацията за предходните две години. Може да изглежда зле, но има известно подобрение: през 2019 г. беше по-къса: „12345“.
Класацията включва и оценка на времето, необходимо за разбиването на повечето от тези кодове чрез софтуерен инструмент за „строшаване“ на пароли. Тези, най-популярните, се разбиват за под една секунда. Номер девет в глобалния списък, „col123456“, отнема цели 11 секунди за хакване. В световен мащаб другите най-използвани пароли включват „qwerty“, „guest“ и „111111“.
Списъкът е рожба на партньорство с независими изследователи, които са открили база данни с размер 3TB, пълна с изтекли пароли, описвана като „солидна основа за оценка кои пароли година след година поставят хората в опасност онлайн,“ казва Каролис Арбациаускас, ръководител на отдела за бизнес развитие в NordPass.
По думите му, „password“ е намерена над 4,9 милиона пъти в базата данни. В сравнение с данните от 2021 г. 73% от 200-те най-често срещани пароли през 2022 г. остават същите. „Тъй като знаем, че тези пароли се появяват сред изтеклите, ще избегнем много инциденти с киберсигурността, ако спрем да ги използваме“, призова Арбациаускас.
“password” и “123456” остават най-често използваните пароли в света (графика: NordPass)
Лошата хигиена
Слабите пароли са повсеместен проблем, казва Карл Крибел, акционер в консултантските услуги за киберсигурност в глобалната счетоводна фирма Schneider Downs. „При 75-те теста за проникване, които правим на година, паролите винаги са слабото звено във веригата“, каза той. Тук дължината на паролата е важен фактор заради времето, което отнема за пробиване. „Както всички останали, и нападателите измерват успеха си чрез възвръщаемостта на инвестицията, включително времето“, добавя Крибел.
Лесният достъп до софтуерни инструменти за разбиване на пароли намалява времето за пробив до почти нула при профилите с пароли от „масовия тип“, такива като „password” и “qwerty”. Това означава, че отстраняването на практиката да се използват подобни комбинации е задача с най-висок приоритет за всяка организация и институция.
Черни списъци
Крибел препоръчва на компаниите да възприемат нов подход: създаване на черни списъци на паролите. Тези черни списъци следва да включват непременно най-често използваните комбинации. Чрез списъците следва да се забрани използването на масовите пароли като част от политиките за сигурност в организациите.
Освен това фирмите трябва да се уверят, че тези списъци съдържат и други видове пароли: такива с „когнитивни връзки около очевидни неща“, например местоположението на организацията, годината на основаване и други данни, които са лесни за отгатване.
Разбира се, заедно с това всички специалисти по ИТ сигурност препоръчват използването на могофакторно удостоверяване.
Осем знака са твърде малко
Крибел смята, че институциите трябва да настояват за използване на сложни пароли – не само чрез увеличаване на комбинацията от знаци, символи и числа, но и чрез увеличаване на самия брой на знаците. Много хора все още използват само осем знака, но това далеч не е достатъчно, каза той.
Днес здравословният минимум е 15 знака. Формализирането на по-строги политики с подобно изискване налага известна доза организационна твърдост, тъй като компаниите не биха искали нормите им да обременяват работата на служителите. И все пак, „простото добавяне на знаци прави експоненциално по-трудно хакването на паролите“, добавя Крибел.
Фразите са-по-добри от супата с букви
Дългите фрази са по-добро решение от безсмислената поредица от знаци, която Крибел нарича „супа с букви“ по подобие на детските храни с тестени букви. Специалистът посочва, че с инструментите, с които хакерите в момента разполагат, би било трудно да се хакне фраза като „Пепи си има малко агне на село“. В тази комбинация могат да се включат и препинателни и специални знаци, което да усложни фразата допълнително и това да я направи доста по-здрава парола.
Много ми е интересно какво ще се случи, ако администрацията на местната власт бъде задължена да използва 15 символа за парола?! Всеизвестна тайна е, че в общинските служби всички са или роднини, или връзкари с кмета, а в над 90% от местата са такива на ГРОБ и ДПС, с други думи, от един разред организми с Тиквата. Амеби! Не е необходимо никаква пета колона на кремълското джудже със свинските очички да действа – само задължете смяната на паролите от дебелите лелки с новите символи от копчетата… държавата ще изпадне в дъъъълъг колапс!