Большая часть российских пользователей продолжает использовать слабые пароли – статистика RTM Group

Большая часть российских пользователей продолжает использовать слабые пароли – статистика RTM Group

 

Специалисты компании RTM Group, предлагающей услуги в области кибербезопасности и права в ИТ, в рамках расследования инцидентов утечек аутентификационной информации собрали статистику наиболее уязвимых парольных фраз.

Ежегодно из-за использования слабой парольной политики в сеть утекают десятки миллионов учетных данных российских пользователей. Злоумышленники применяют эти данные для целевых атак на бизнес, для перепродажи или с целью подрыва защищенности конкретных организаций, публикуя их в открытом доступе.

В границы расследования попали десятки тем на форумах даркнета, предоставляющие услуги по продаже скомпрометированных учетных записей пользователей и организаций российского сегмента сети Интернет за период с января 2022 по май 2023 года, а также распространяемые «слитые» базы данных. Общий объем выборки для анализа составил до 50 млн комбинаций: электронные почты и пароли в виде хеш-сумм (символьных значений фиксированной длины, полученных в результате определенных математических преобразований).

По результатам исследования выяснилось, что большая часть проанализированных паролей (около 65%), которые используют обычные интернет-пользователи, составляют комбинации всего из 6-8 символов и содержат лишь цифры или цифро-буквенные сочетания в нижнем регистре. Взломать их можно даже без использования специализированного оборудования быстрее, чем за одну минуту, а в отдельных случаях — мгновенно.

  1. Почти половина всех парольных фраз, принадлежащих малому бизнесу (≈25% всех исследованных данных), содержат 8 символов, включая только цифры или буквы смешанного регистра. Такие пароли «восстанавливаются» около нескольких минут.
  2. Статистика паролей среднего бизнеса уже лучше: пароли с длиной 9-10 символов, используются цифро-буквенные последовательности смешанного регистра и (иногда) спецсимволы. На их подбор тратится от пары часов до нескольких дней.
  3. Лучшего всего защищены аутентификационные данные крупного бизнеса (чуть более 5% от всех исследованных данных). Здесь и пароли от 12 символов, и обильное использование спецсимволов — сказывается наличие жестких парольных политик, регламентирующих длину и состав пароля. Взлом таких хешей занимает от одной недели до нескольких лет, в зависимости от сложности и длины.

Эксперты RTM Group рекомендуют разработчикам и администраторам использовать современные хеш-алгоритмы для защиты парольных фраз пользователей и категорически избегать использования небезопасных хеш-функций: например, MD5 и SHA1. Современная видеокарта уровня GTX 4090 уже сейчас способна перебирать около 300 миллиардов хешей в секунду.

 

Рекомендации для пользователей

Применять длинные и сложные пароли, без цельных фраз, которые не являются датами рождения, именами (включая персонажей), локациями или иными популярными словами. Обязательно включить цифры, смешанный регистр и спецсимволы. К примеру, для взлома пароля длиной в 9 символов, который состоит только из букв и цифр, понадобится до 30 минут. Но если увеличить его длину до 12 символов и добавить пару спецсимволов, «хакеру» потребуется уже 226 лет!

 

Артём Бруданин, руководитель направления кибербезопасности RTM Group, комментируя результаты исследования, отметил следующее:

Времена, когда все эксперты рекомендовали „безопасный“ пароль с длиной в 8 символов, давно прошли — хеш будет взломан меньше, чем за 5 минут. С увеличением вычислительной мощности аппаратного обеспечения, для противодействия хакерам и снижения результативности целенаправленных атак, использование паролей с длиной от 12 символов — необходимость на сегодняшний день.

Так, эксперты RTM Group предлагают вариант создания безопасных (на сегодня) парольных фраз:

  1. Придумайте любое абсурдное словосочетание на русском языке, например сочетание существительного и прилагательного, каждое слово с заглавной буквы. Как вариант: «Быстрый Сейф»;
  2. Добавьте числительное цифрами — «34 Быстрых Сейфа»;
  3. Смените раcкладку на английскую и напишите получившуюся фразу — «34 <scnhs[ Ctqaf».

Данная парольная фраза состоит из 16 символов, присутствует и разный регистр, и цифры, и спецсимволы (пробел — это тоже спецсимвол). Но самое главное — она проста для запоминания.

Время на взлом такого пароля в 2023 году составит не менее 50 млрд лет.