26 сентября 2013

Пароли в Сети: блеск и нищета

Бизнес

Пароли — основной способ авторизации в интернете сегодня, вчера, позавчера и, вероятно, во сколько-нибудь обозримом будущем тоже. Соответственно, пароли — одни из главных объектов интереса для сетевых злоумышленников, особенно когда речь идёт о реквизитах банковских счетов или корпоративных ресурсах. Серверы компании объективно представляют для хакеров отдельный предмет интереса уже потому, что на них зачастую хранятся данные множества людей… Увы, не всегда в безопасном, то есть зашифрованном виде. Самой громкой историей последних лет, как известно, стал взлом серверов, принадлежащих Sony, в апреле 2011 года. Взлом затронул около ста миллионов человек, утекли бесчисленные номера кредитных карт, поскольку эти данные хранились в слишком уж доступном виде.

Но тот взлом был далеко не единственной крупномасштабной утечкой данных; о нескольких других мы рассказывали в июле.

Несмотря на эти истории, до сих пор значительная часть пользователей по всему миру верят в то, что их пароли в безопасности. Согласно результатам исследования, проведённого B2B International совместно с «Лабораторией Касперского», общее число таких людей составляет, в среднем, 40%; больше всего таких в Японии (49%), меньше всего — в Китае (28%).

В общей сложности, 17% пользователей не предпринимают никаких шагов к тому, чтобы дополнительно обезопасить свои пароли к финансовым и/или платёжным сервисам. Менее всего своей безопасностью озабочены, опять-таки, японцы (26%), в наибольшей степени — жители Северной Америки (14%).

Некоторое, так сказать, небрежение безопасностью паролей проявляется и в том, что более чем значительная часть пользователей — 39% в целом по миру — предпочитают использовать один или всего несколько паролей для всего диапазона ресурсов, которые они посещают.

Понять причину этого легко: чем к большему количеству ресурсов, требующих авторизации, приходится обращаться в повседневности, тем выше соблазн сократить количество запоминаемых паролей до минимума (а держать их в голове предпочитают, как следует из вышеупомянутого исследования B2B International, 65% пользователей) или использовать какие-то комбинации, которые нетрудно запомнить. К сожалению, те пароли, которые легко запомнить, обычно легко и подобрать, особенно если у взломщика есть какая-то дополнительная информация о потенциальной жертве. 21% опрошенных вообще используют дату своего рождения в качестве пароля. Чаще всего этим «грешат» китайцы (37%), реже всего — жители Северной Америки (8%).

63% опрошенных B2B International признали, что отгадать их пароли, в принципе, несложно.

Наименьшим возможным количеством паролей чаще всего предпочитают пользоваться жители Китая (47%), наибольшим — жители России (31%). В целом, 47% опрошенных признают, что уникальных паролей у них намного меньше, чем аккаунтов на разных ресурсах.

Из всего сказанного складывается не слишком радостная картина: значительное количество людей во всём мире предпочитают ограниченное количество паролей для большого числа ресурсов. Эти пароли, вдобавок, зачастую несложно подобрать, особенно если злоумышленники что-то знают о своей потенциальной жертве, будь то отдельный пользователь или целая компания.

Это может приводить – и зачастую приводит — к «каскадирующим неприятностям», когда, получив в распоряжение один пароль, злоумышленник обнаруживает, что это своего рода универсальный ключ сразу к нескольким «дверям». И он начинает их открывать одну за другой. Возможные последствия представить нетрудно. К слову, по результатам того же опроса, около 23% пользователей пытались подбирать пароли к чужим аккаунтам и 14% в этом преуспели.

Безопасный подход заключается в том, чтобы использовать максимальное количество уникальных паролей. Их, может быть, трудно запоминать, но делать это, в общем-то, и необязательно. Существуют решения, такие как Kaspersky Password Manager, позволяющие хранить все необходимые пароли на вашем компьютере в защищённом виде и производить автоматическую авторизацию на любых ресурсах.

К сожалению, пока подобными решениями пользователи предпочитают не заморачиваться: по данным B2B International, в безопасном виде свои пароли хранят только 9% пользователей. Этой цифре стоит подрасти.