0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Microsoft: 150 млн человек используют решения компании для аутентификации без пароля

Содержание

Microsoft: 150 млн людей используют беспарольные методы аутентификации

По данным Microsoft, число людей, использующих беспарольные методы аутентификации, достигло 150 миллионов. Таким образом, за полгода эта цифра увеличилась на 50 млн, так как в ноябре Microsoft сообщал о 100 млн.

Количество сторонников аутентификации без пароля складывается из числа пользователей сервисов от Microsoft — Azure, GitHub, Office и Xbox.

Например, к сетям Azure Active Directory можно получить доступ с помощью функции Windows Hello, которая способна сканировать отпечаток пальца владельца или его лицо. Также пользователи задействуют приложение Microsoft Authenticator и основанные на FIDO2 ключи безопасности для входа в аккаунты без пароля.

По словам Microsoft, основная цель — сподвигнуть людей применять многофакторную аутентификацию (2FA) или беспарольные способы входа в онлайн-аккаунты.

Это вполне логичное желание, учитывая, что пользователи привыкли безответственно подходить к защите учётных записей паролем.

Читайте также

Новую реальность можно создать с использованием СКРД Diamond ACS – этот продукт позволяет с одного рабочего места управлять Аккордами-АМДЗ (СДЗ уровня платы расширения) и Аккордами-MKT (СДЗ уровня BIOS).

Системы, построенные единообразно, состоящие из однотипных СВТ, одинаково защищенных, постепенно переходят из жизни в сказки, а управлять системами через «единое окно» хочется все больше.

Спрос рождает предложение даже в самых сложных сегментах действительности, и вот, вышла новая версия средства контроля и разграничения доступа (СКРД) Diamond ACS, в которой реализована глубокая интеграция с СДЗ семейства Аккорд.

Результатом интеграции стала возможность с одного рабочего места управлять всеми базовыми функциями Аккордов на подконтрольных объектах (то есть на тех СВТ, которыми управляет Diamond ACS), причем независимо от того, Аккорды-АМДЗ или Аккорды-MKT установлены на этих подконтрольных объектах. На любой из рабочих станций теперь можно удаленно заводить и редактировать пользователей в СДЗ, устанавливать или менять им идентификаторы и пароли, блокировать, удалять, просматривать данные о них, а также журналы событий, и, что крайне важно, управлять контролем целостности.

Управление контролем целостности через Diamond ACS включает в себя:

  1. Настройку и просмотр списков контроля целостности в Аккордах (важно иметь в виду, что списки, созданные локально, при использовании этой возможности будет уже нельзя применять, они будут сбрасываться, так как приоритетны настройки, заданные централизованно).
  2. Пересчет контрольный сумм и запись этого факта в журнал.
  3. Просмотр журнала.

Для наглядности несколько скриншотов. Вот так выглядит просмотр настроек пользователя:

А вот так – просмотр списка пользователей:

Так – создание пользователя и постановка на контроль:

А так – просмотр журналов:

Приобрести продукт можно как одновременно с СДЗ, так и отдельно – в ОКБ САПР или у его партнеров.

Microsoft: двухфакторная аутентификация эффективно отражает 99,9% атак на учетные записи

Редмонд утверждает, что двухфакторная аутентификация, иногда называемая многофакторная аутентификация или двухэтапная проверка, позволяет заблокировать 99,9 процентов автоматизированных атак.

Каждый день Microsoft регистрирует более 300 миллионов несанкционированных попыток входа в облачные сервисы компании, 167 миллионов вредоносных атак и 4000 атак программ-вымогателей на организации.

Microsoft сообщает, что наиболее эффективной мерой защиты против автоматизированных атак является многофакторная аутентификация, если, конечно, веб-сервис ее поддерживает. Пользователям настоятельно рекомендуется включить двухфакторную аутентификацию на поддерживаемых сайтах и сервисах, чтобы автоматически защитить свои учетные записи от большинства атак.

На нашем сайте есть целый раздел, посвященный настройке двухфакторной аутентификации в популярных сервисах. Предлагаем вам ознакомиться со следующими инструкциями:

Алекс Вейнерт (Alex Weinert), руководитель программы по безопасности и защите личных данных в Microsoft, в прошлом месяце опубликовал любопытную статью на сайте Tech Community. Алекс пришел к выводу, что пароли сами по себе больше не имеют важного значения.

Он предоставил список распространенных типов атак, их частоту, сложность, роль пользователей в успешности атаки и значение паролей. Вейнерт в своем анализе пришел к выводу, что в большинстве случаев сложность пароля не имела значение.

Возьмем для примера фишинг-атаки: их сложность невысокая, так как для их проведения достаточно разослать электронные письма, которые маскируются под сообщения от официальных источников и вызывают любопытство у получателя. Инструменты для организации фишинг-атак легкодоступны, а пользователи часто становятся жертвами таких атак даже в наши дни. Сложность пароля не играет никакой роли в данных типах атак, а сам пароль может быть украден злоумышленником в ходе атаки.

Значит ли это, что не имеет значения, какой пароль вы используете? Вейнерт считает, что безопасные пароли по-прежнему актуальны, поскольку они блокируют некоторые типы атак, такие как атаки перебором. Добавление многофакторной аутентификации значительно улучшает эффективность защиты. Злоумышленники не смогут войти в сервис, поскольку им не удастся пройти экран двухфакторной аутентификации. Пароли также могут играть важную роль, поскольку злоумышленники могут попытаться войти в другие сервисы с их помощью.

Стоит ли напоминать, что некоторое время назад Microsoft приступила к продвижению на рынке специализированных решений аутентификации без пароля. На веб-сайте Улучшенная система безопасности без паролей, посвященной инновационной технологии, доступна для ознакомления техническая документация, содержащая дополнительную аргументацию, почему паролей уже недостаточно для обеспечения безопасности учетной записи. Также в документе приводится список решений, созданных Microsoft.

Что вы думаете по поводу исследования Microsoft и многофакторной аутентификации в целом? Поделитесь в обсуждениях.

Microsoft: 150 млн человек уже отказались от использования паролей

Xakep #252. Чемоданчик хакера

  • Содержание выпуска
  • Подписка на «Хакер»

Так как на этой неделе отмечался всемирный день пароля, компания Microsoft поделилась интересной статистикой в своем блоге.

По данным аналитиков, все больше людей отказываются от использования традиционных паролей и предпочитают им альтернативные решения для аутентификации. Так, количество пользователей применяющих «беспарольные» решения Microsoft, достигло 150 миллионов (по сравнению со 100 миллионами в ноябре 2019 года). Эта цифра охватывает пользователей онлайн-сервисов компании, таких как Azure, GitHub, Office и Xbox.

Читать еще:  Включаем DLSS в Battlefield V, Final Fantasy XV и Metro Exodus: качество картинки и быстродействие

Статистика компании включает пользователей, полагающихся в работе на решение Windows Hello (распознавание отпечатков пальцев и лиц) для доступа к Azure Active Directory (Azure AD), а также пользователей, которые применяют приложение Microsoft Authenticator и ключи с поддержкой FIDO2 для входа в различные учетные записи без паролей.

Microsoft заявляет, что одна из ее текущих целей — побудить людей чаще использовать решения многофакторной аутентификации (MFA), а также «беспарольные» методы аутентификации, что позволит в целом повысить защищенность их учетных записей. Ведь исследования компании доказывают, что большинство людей, как правило, использует один и те же пароли многократно, подвергая свои у­четные записи риску и облегчая их взлом.

Также в компании отмечают, что отказ от паролей позволяет снизить затраты на техническую поддержку, поскольку у сотрудников попросту нет паролей, которые они могут забыть, а затем попросить сбросить. Так, внутри Microsoft на «беспарольную» аутентификацию перешли уже 90% сотрудников.

Плюсы и минусы многофакторной аутентификации. Почему пользователи пренебрегают безопасностью своих личных данных?

На протяжении последних лет практически все популярные почтовые службы, сервисы электронных платежей, банки ввели многоэтапную (или многофакторную) аутентификацию для своих клиентов. Такие меры позволяют эффективнее защитить персональные данные от кражи, но при этом далеко не все пользователи настраивают многофакторную аутентификацию для своих аккаунтов. В чем причины сложившейся ситуации? Может быть, действительно достаточно привычной комбинации логина и пароля?

Виды дополнительной защиты

Чтобы ответить на эти вопросы, для начала кратко расскажем, какие основные варианты многофакторной аутентификации существуют на сегодняшний день.

Сразу отметим, что в настоящее время многие пользователи путают многофакторную и многоэтапную аутентификацию. Всего выделяют четыре основных фактора аутентификации:

  1. «Что ты знаешь?» (пароль, ответ на вопрос и т.д.)
  2. «Что у тебя есть?» (аппаратный ключ, токен)
  3. «Где ты?» (IP-адрес, географические координаты и т.п.)
  4. «Кто ты?» (отпечатки пальцев, радужная оболочка глаза).

Аутентификация называется многофакторной, если в процессе задействовано не менее двух факторов.

Например, вы вводите пароль для доступа к какой-то защищенной системе, а потом пользуетесь USB-токеном с уникальным ключом (двухфакторная аутентификация). А вот наиболее распространенная схема «введи логин-пароль, а потом код из SMS» – это двухэтапная аутентификация, поскольку вы знаете свой пароль и код (первый фактор из списка). Если бы код генерировался только на конкретном устройстве (вашем смартфоне, планшете и т.п.), это была бы двухфакторная аутентификация. Впрочем, многие крупные веб-сервисы в своей документации фактически считают понятия двухфакторной и двухэтапной аутентификации синонимами, что не совсем правильно с терминологической точки зрения, но удобно для конечных пользователей.

Сейчас многие компании-гиганты предлагают своим пользователям разные варианты аутентификации. Например, пользователи Google могут использовать привычную схему с привязкой логина и пароля к номеру телефона, установить программу Google Authenticator или приобрести электронный ключ для более безопасной аутентификации (см. статью в базе знаний Google). Владельцы учетных записей Microsoft могут генерировать одноразовые коды безопасности в мобильном приложении Microsoft Authenticator, доступном для большинства популярных платформ.

Безопасно, но неудобно

Однако усилия разработчиков и маркетологов крупных компаний пока не приводят к повсеместной распространенности многофакторной или многоэтапной аутентификации. Так двухэтапной аутентификацией защищены не более 10% аккаунтов Google, хотя возможность привязки логина и пароля к номеру телефона доступна уже семь лет. При этом компания пока не решается вводить обязательную двухэтапную аутентификацию для всех клиентов, поскольку боится потерять значительную часть пользователей. Причин, по которым клиенты Google и других компаний не пользуются двухэтапной аутентификацией, несколько:

  1. Любые дополнительные шаги в привычной схеме аутентификации для части пользователей оказываются слишком сложными и непонятными. Начинающие пользователи не всегда понимают, зачем им необходимо вводить свой номер мобильного телефона, более опытные клиенты могут столкнуться с неудобствами при использовании тех или иных сервисов (например, двухфакторная аутентификация в Яндексе реализована нестандартно, поэтому нет совместимости с Google Authenticator, 1password и другими популярными программами).
  2. Многие клиенты не желают сообщать крупным компаниям номер мобильного телефона, свое реальное местонахождение и т.п. В случае с банковскими сервисами дополнительный этап защиты данных с использованием номера телефона представляется «неизбежным злом», но сообщать свои данные почтовой службе хотят далеко не все («все равно у меня в ящике ничего ценного»).
  3. Некоторые клиенты не желают «привязывать» свои данные к USB-ключу или смартфону, потому что устройство можно потерять. В этом случае личные данные могут попасть в руки к посторонним людям. Также в последние годы стало понятно, что наиболее распространенная схема аутентификации с помощью SMS-кодов неидеальна. В 2017 году злоумышленники в Германии сумели с помощью троянских программ получить логины и пароли пользователей для доступа в интернет-банк. Затем они воспользовались уязвимостью в наборе сигнальных телефонных протоколов, который используется для рассылки SMS, и перенаправили сообщения с одноразовыми кодами подтверждения входа на свой номер телефона, а далее перевели деньги клиентов банка на свои счета. Этот случай еще раз продемонстрировал, что двухэтапная аутентификация с применением SMS-кодов может быть не самым оптимальным вариантом (но она все равно лучше, чем простой ввод логина и пароля).

Стоит ли игра свеч?

Разумеется, существующие схемы многофакторной и многоэтапной аутентификации пока нельзя назвать идеальными, они не всегда удобны и универсальны. Поэтому возникает резонный вопрос: может быть, пользоваться только парой «логин-пароль» и не усложнять себе жизнь? Возможно, наиболее оптимальным здесь можно считать компромиссный подход.

Используйте многофакторную аутентификацию на любых сайтах, хранящих ваши личные данные (соцсети, электронная почта, интернет-банк и т.д.), даже если сервис позволяет обойтись без нее. Конечно, это не всегда удобно, но практически всегда делает посещение важных сайтов более безопасным. А вот при использовании сайтов, посещаемых редко, вполне можно обойтись только логином и паролем (пароль, конечно, должен быть сложным). При этом помните, что для критически важных данных использование USB-токенов или биометрической аутентификации – более предпочтительный вариант, чем одноразовые SMS-пароли.

Также отметим, что в последние годы постоянно разрабатываются и совершенствуются вторичные факторы защиты, еще недавно считавшиеся экзотическими, например, аутентификация с помощью микрочипа, вживленного под кожу. Вполне возможно, что в скором будущем подобные новинки сделают нашу жизнь более удобной, а пока придется довольствоваться более привычными методами аутентификации. И, конечно, помнить, что даже многофакторная аутентификация не гарантирует стопроцентной защиты от компрометации данных, а лишь позволяет существенно снизить вероятность кражи информации.

Двухэтапная аутентификация при использовании интернет-сервисов

Microsoft Security Trusted Advisor

Windows Insider MVP

Стоит признать, что несмотря на то, что сервисы двухэтапной аутентификации в интернет-сервисах появились достаточно давно, по данным Google, сегодня ими пользуются порядка 10% пользователей. Большинство же пользователей сегодня все еще считает, что это очень неудобно, так как требует излишних действий. Так ли это? В данной статье мы с вами попробуем найти ответ на этот вопрос

Читать еще:  3DNews-2009. Ключевые IT-события года в обзорах нашего сайта

Двухэтапная аутентификация в Gmail

Настроить двухэтапную аутентификацию в Gmail можно несколькими способами. Рассмотрим подробнее каждый из них.

Что такое двухэтапная аутентификация?

После обычного ввода пароля для входа в аккаунт Google вам потребуется ввести код подтверждения.

Код подтверждения можно ввести, получив его по SMS либо с помощью голосового вызова или приложения Google Authenticator, установленного на вашем смартфоне. Если же у вас есть токен безопасности, вы можете просто вставить его в USB-порт компьютера.

Более того, при входе в аккаунт вы можете установить флажок «Запомнить код на этом компьютере», после чего система перестанет запрашивать второй фактор аутентификации.

Однако ваши данные по-прежнему будут под защитой. При попытке входа в аккаунт с другого компьютера система потребует ввести код или вставить токен авторизации.

Самый простой способ двухэтапной аутентификации (и наименее надежный) – использовать для получения второго фактора SMS. Увы, данный способ сегодня признан ненадежным. Вашу SIM-карту можно клонировать и тогда SMS можно перехватить.

Figure 2 Настройка номера телефона

Как видно из Рис.2, на этом же этапе вы выбираете способ получения кода, SMS или телефонный звонок.

После того, как вы нажмете «Далее», вам будет отправлено SMS-сообщение с кодом подтверждения из 6 цифр. Все. Данный этап можно считать оконченным. Но, как уже написано выше, это наименее безопасный способ получения кода подтверждения. Гораздо безопаснее установить Google Authenticator.

Установите соответствующее приложение из App Store или Google Play, отсканируйте штрих-код для его настройки. Все. Ваш генератор кодов действует.

Настройка электронного токена на примере YubiKey

Данный способ является наиболее безопасным, но в то же время требует определенных затрат на покупку соответствующего ключа.

Кроме того, вы можете распечатать коды на случай, если вы не можете получить их с помощью SMS и при этом пользуетесь не смартфоном, а обычным телефоном.

Figure 10 Вход в аккаунт с помощью уведомления от Google

Данный способ, на мой взгляд, достаточно удобный, хотя, наиболее безопасным является использование токена безопасности.

Вместе с тем стоит отметить, что если вы используете почтовый клиент Outlook из состава Microsoft Office или настраиваете получение почты на смартфоне, то данные приложения не используют двухфакторную аутентификацию. В таком случае вам потребуется настроить пароль приложения.

Получить пароль приложения

Пароль приложения — это 16-значный код доступа, который дает приложению или устройству разрешение на доступ к вашей учетной записи Google. Если вы используете 2-Step-Verification и видите ошибку «неверный пароль» при попытке получить доступ к своей учетной записи Google, пароль приложения может решить проблему. Большую часть времени вам придется вводить пароль приложения только один раз для каждого приложения или устройства, поэтому не беспокойтесь о его запоминании.

Примечание. Если на вашем Mac установлена операционная система Mac OS 10.10.3 или более поздней версии, на iPhone iOS 8.3 или более поздней версии, вам больше не придется использовать пароли приложений для двухэтапной проверки при использовании Gmail или любых других приложений Google из iTunes. Использование опции Google на родном почтовом клиенте iOS также не требует паролей приложения.

Как создать пароль для приложения

Посетите страницу паролей вашего приложения. При этом вас могут попросить войти в свою учетную запись Google.

Внизу нажмите «Выбрать приложение» и выберите приложение и устройство, для которого вы хотите создать пароль.

Сгенерируется пароль приложения (16-значный код в желтой полосе) на вашем устройстве.

Если вы забыли соответствующий пароль приложения, не волнуйтесь. Несмотря на то, что каждый пароль приложения используется только один раз, вы всегда можете сгенерировать новый пароль для приложения, когда он вам понадобится, даже для устройства или приложения, которые вы авторизовали ранее.

Двухфакторная аутентификация в Outlook

До недавнего времени настройка двухэтапной аутентификации в почтовом сервисе Outlook была практически такой же, за исключением того, что аутентификация с помощью аппаратного токена была невозможна. Однако с выходом Windows 10 версии 1809 ситуация изменилась. Вместе с тем стоит отметить, что сегодня использование Security Key возможно только при условии использования версии English (United State) и браузера Edge. В случае использования другого браузера или другой версии OS, Security Key не работает.

Как это работает?

Для настройки Security Key войдите в Windows Setting -Accounts

Выберите Manage my Microsoft Account – Security – More security options

Нажмите Set up a security key

Выберите тип вашего токена. Либо это USB-устройство, либо NFC.

Внимание!

Для настройки вы можете выбирать только YubiKey версии 5.0. Учтите, что внешне ключи YubiKey внешне версия от версии отличаются незначительно. Напр. YubiKey 4 и YubiKey 5 NFC можно различить по тому, что у последнего на сенсорной кнопке над логотипом «Y» есть пиктограмма «а-ля уровень сигнала». Также, у более ранних версий YubiKey 4 отсутствовала металлизация отверстия для кольца с ключами. И поскольку 4 и 5 это номера серий, у ключей есть также и версия внутреннего ПО, напр., 5.1.2 и т.д., которая может быть меньше или больше в зависимости от даты производства партии ключей.

Также, помимо YubiKey, компания Yubico производит удешевлённую версию ключей под именем Security Key, которые поддерживают стандарты FIDO U2F / FIDO2 (отличить от старой версии с поддержкой только U2F можно по цифре «2» на корпусе ключа), и соответственно работают с Microsoft, Google, Facebook, Dropbox и т.п.

Гораздо проще выяснить какой именно ключ у вас вы можете с помощью YubiKey Manager. Данную программу вы сможете загрузить с сайта yubico.com.

Если ваш YubiKey не имеет PIN-кода, вам будет предложено его создать.

Введите PIN или Security Key

Все, аутентификация пройдена. Однако учтите, пока это работает только в версии English (United States).

И все же, почему токен только версии 5.0?

Вся проблема в том, что необходимо, чтобы ваш токен поддерживал технологию FIDO 2.0.

Проект FIDO 2

Проект FIDO 2 — это набор взаимосвязанных инициатив, которые вместе создают стандарт аутентификации FIDO для Интернета и значительно расширяют экосистему FIDO.

FIDO 2 состоит из спецификации веб-аутентификации W3C (WebAuthn) и соответствующего протокола FAPO « клиент-аутентификатор, который в совокупности позволит пользователям использовать обычные устройства для простой аутентификации в онлайн-сервисах — как в мобильных средах, так и в настольных средах.

WebAuthn определяет стандартный веб-API, который может быть встроен в браузеры и соответствующую инфраструктуру веб-платформы, чтобы онлайн-службы могли использовать аутентификацию FIDO. Это позволяет внешним устройствам, таким как мобильные телефоны или ключи безопасности FIDO, работать с WebAuthn и выполнять функции аутентификаторов для настольных приложений и веб-служб.

Читать еще:  Deep Exploration 3.0

Стандарты реализованы во многих основных веб-браузерах, включая Chrome, Firefox и Microsoft Edge; Android, Windows 10 и связанные с ними технологии Microsoft также будут иметь встроенную поддержку аутентификации FIDO.

Завершение усилий по стандартизации FIDO2 и приверженность ведущих производителей браузеров к ее внедрению открывает новую эру повсеместной защиты FIDO с аппаратной поддержкой для всех, кто использует Интернет.

Предприятия и поставщики онлайн-услуг, желающие защитить себя и своих клиентов от рисков, связанных с паролями, в том числе от фишинга, взлома и атак с использованием украденных учетных данных, могут вскоре развернуть строгую стандартную аутентификацию, которая работает через браузер. Развертывание FIDO Authentication позволяет онлайн-сервисам предоставлять пользователям возможность выбора из экосистемы устройств, которые люди используют каждый день, таких как мобильные телефоны и ключи безопасности.

Новые спецификации дополняют существующие сценарии и спецификации FIDO UFF без паролей и FIDO U2F второго фактора и расширяют возможности аутентификации FIDO. Пользователи, у которых уже есть внешние FIDO-совместимые устройства, такие как ключи безопасности FIDO U2F, смогут продолжать использовать эти устройства с веб-приложениями, поддерживающими WebAuthn. Существующие устройства FIDO UAF по-прежнему могут использоваться с уже существующими услугами, а также с новыми предложениями услуг, основанными на протоколах FIDO UAF.

Фактически разница между Google и Microsoft заключается в том, что Microsoft позволит вам использовать ваш ключ для однофакторной аутентификации. Другими словами, используя свой ключ, вы входите в систему, без имен пользователей, без паролей. Информация о ключе помещается в доверенный платформенный модуль на физическом компьютере. Затем это сравнивается с вашими облачными учетными данными с одной стороны и вашей информацией FIDO2.

Удобно? Безусловно. Но на пользователя накладывается дополнительное требование. Не потеряйте свой Security key! Ведь в этом случае нашедший его злоумышленник может войти в вашу учетную запись. И ему не нужен ни логин, ни пароль! Все будет зависеть только от сложности вашего PIN-кода. Не храните его вместе с ключом. Помните об этом!

Использование двухэтапной аутентификации в интернет-сервисах

В последнее время количество инцидентов, связанных с недостатками парольной аутентификации, превысило все возможные пределы. Статей, посвященных паролям, также вышло превеликое множество, но пользователи по-прежнему предпочитают пароли типа «123456». Это еще раз подтвердил специалист Инженерной школы при Университете штата Мэрилэнд Мишель Кукье, который в ходе своего исследования выявил модели поведения хакеров и выяснил, какие имена и пароли они пытаются вводить чаще всего, а также что они делают, получив доступ к компьютеру

В среднем каждые 39 секунд компьютер, подключенный к Интернету, подвергается хакерской атаке. «Большинство атак совершается с использованием автоматизированных сценариев, которые хаотично проверяют одновременно несколько тысяч компьютеров в поисках уязвимостей. Наши данные свидетельствуют о том, что компьютеры, подключенные к Интернету, подвергаются атакам постоянно. Машины, которые мы применяли при исследовании, были атакованы в среднем 2244 раза в сутки», — рассказал Кукье.

В числе популярных имен оказались root, admin, test, guest, info, adm, mysql, user, administrator и oracle. Кукье рекомендует избегать использования любого из этих слов в качестве логина.

Кроме того, исследователи выяснили, что самым распространенным методом генерации пароля является копирование имени. В 43 % случаев имя учетной записи служило одновременно и паролем. Весьма популярным паролем оказался набор цифр 123. В числе других, пользующихся успехом — 123456, password, 1234, 12345, passwd, 123, test и 1.

По данным компании Experian, специализирующейся на предоставлении информационных услуг, с января по апрель 2012 года на черном онлайн-рынке было выставлено на продажу свыше 12 млн. персональных идентификаторов. 90% из них составили пары имя-пароль. В то же время опрос, проведенный в июне по заказу компании, показал, что британские учетные записи являются легкой добычей для киберзлоумышленников: британцы в среднем держат 26 учетных записей и используют для их защиты всего 5 разных паролей.

В октябре 2013 года было совершено преступление, которое с большой долей вероятности может войти в книгу рекордов Гиннеса. 3 октября компания Adobe Systems официально сообщила о кибератаке, в ходе которой произошла утечка данных клиентов. В результате злоумышленники получили доступ к зашифрованным паролям и данным платежных карт 2,9 миллионов клиентов (по данным Adobe Systems).

Однако, как оказалось, это было только начало. 29 октября эксперт по информационной безопасности Брайан Кребс (http://krebsonsecurity.com/) опубликовал сенсационные данные. Как заявил эксперт, жертвами кибератаки стали 38 млн. пользователей, а не 2,9, как сообщалось ранее. В пресс-службе Adobe Systems подтвердили эту информацию, сообщив, что злоумышленникам стали доступны Adobe ID и зашифрованные пароли именно 38 млн. активных пользователей. Однако, как оказалось, и это был не конец.

В начале ноября Пол Даклин — эксперт по информационной безопасности компании Sophos, сообщил, что скомпрометированными оказались 150 млн. учетных записей (по другим данным, дамп содержит 130 324 429 учетных записей). Более того, архив с дампом «угнанной» базы данных был опубликован в свободном доступе в Интернете.

В итоге выяснилось, что в Adobe применялся симметричный блочный шифр 3DES в режиме Electronic Code Book (ECB) с добавлением ASCII NUL («нолик») в конце каждого пароля. Причем ключ шифрования был один-единственный на все пароли. Вскоре этот ключ, вероятно, будет найден. И все пароли станут известны злоумышленникам. Как следствие, они попадут в «словари» для атак методом перебора. Но пока, официально, ключ еще не найден.

Примечательно и другое. Исследование Sophos позволило выявить несколько интересных деталей. Например, было выявлено, что значение EQ7fIpT7i/Q= повторялось в базе 1 911 938 раз. Простейший анализ показал, что значение EQ7fIpT7i/Q= соответствует паролю 123456, и встречается оно почти 2 млн. раз. Это самый популярный пользовательский пароль в сервисе Adobe. Подобным образом были «вычислены» и многие другие популярные пароли. Например, значению j9p+HwtWWT86aMjgZFLzYg== соответствует пароль 123456789, и он встречается в базе 446 162 раз.

Top 100 паролей можно посмотреть по ссылке: http://stricture-group.com/files/adobe-top100.txt

Таким образом, факт остается фактом: слишком многие люди используют одни и те же простейшие пароли. Какой из этого можно сделать вывод? Ни в коем случае нельзя использовать один и тот же пароль для нескольких служб!

Для решения этой проблемы в популярных интернет-службах электронной почты от Microsoft и Google, а также в социальных сетях Facebook и Twitter теперь предусмотрено использование системы двухэтапной аутентификации. Именно этому и посвящена данная статья.

Ссылка на основную публикацию
Статьи c упоминанием слов:

Adblock
detector