И снова слабые пароли

  15 декабря 2010 года группа хакеров, именующая себя Gnosis, успешно вынесла с серверов Gawker Media порядка 500 мегабайт персональных данных зарегистрированных пользователей. Все похищенные таким образом данные были расшифрованы и выложены в открытом доступе на BitTorrent. Говорят, что в 486 мегабайтах похищенных данных находились порядка 1,5 миллионов логинов и паролей пользователей Gawker Media. Причем вся база данных была защищена при помощи DES-шифрования. С учетом того, что уже лет 10 простой DES не является криптостойким прямому перебору (слишком быстро работает функция на современных компьютерах), то использование данного алгоритма для защиты базы данных пользователей является, по меньшей мере, странным.

  Американская компания Duo Security, занимающаяся поставками оборудования для двухфакторной аутентификации, решилась на исследование похищенной базы данных, которую, видимо, скачала с того самого BitTorrent`а. После выполнения анализа содержимого базы данных  был составлен рейтинг используемых пользователями паролей.

Так как использованный для защиты паролей алгоритм был примитивен, то всего через час работы по подбору паролей по словарю были вскрыты порядка 200 тысяч паролей пользователей Gawker Media. Всего при помощи такого «брутофорса» в конечном итоге удалось вытащить из базы 400 тысяч паролей, после чего был составлен рейтинг из 25 наиболее популярных паролей. И этот список из 25 самых популярных паролей поистине ужасающий.

  Результат анализа используемых паролей показывает, что большинство паролей (99,45%) состоят только из букв и / или цифр, пароли не содержат специальные символы и буквы в различных регистрах. 61% парольных последовательностей содержат только буквы в нижнем регистре, 9% паролей содержат исключительно цифровые последовательности.

  После получения таких интересных данных, специалистами были также проверены почтовые домены, используемые пользователями сайта Gawker Media. Оказалось, что многие пользователи использовали свои «корпоративные» почтовые ящики, являясь в это же время сотрудниками государственных учреждений Соединенных Штатов Америки. Так, база содержит 15 адресов NASA с почтовым доменом @nasa.gov, 9 адресов Палаты представителей с доменом @mail.house.gov, 6 адресов администрации социального страхования (домен @ssa.gov). Посчастливилось выявить даже 2 адреса Белого дома (домен @whitehouse.gov).

  И не стоит думать, что подобное беспечное поведение характерно только для пользователей сайта Gawker Media. По данным Корейского подразделения полиции, специализирующегося на компьютерных преступлениях, самый популярный пароль, используемый Корейцами – «1234». Специализированная следственная группа сообщила, что 27% пользователей используют пароли, состоящие только из цифр, например "1234", 13% использовали более «усложненный» вариант – «12345». То есть и многие корейские пользователи также не осознают важность использования сложных паролей для обеспечения безопасности компьютерной системы. Особенно настораживает, что такая ситуация характерна не только для рядовых пользователей, но и для многих системных операторов и пользователей коммерческих компьютеров.

  С учетом того, что многие пользователи продолжают использовать один и тот же пароль для всех своих регистраций во множестве сервисов, это создает дополнительные предпосылки для новых взломов и компрометаций.

  По данным, полученным исследователями компании CheckPoint, 4 из 5 (а это 79%!!!) пользователей Интернета используют какую-либо личную информацию при составлении своих паролей.

  Исследование компании, создавшей такую программу как ZoneAlarm, показывает, что более 26% пользователей используют одинаковые пароли для почтовых сервисов, онлайн-банкинга и учетных записей различных социальных сетей. С учетом того, насколько «сложными» являются эти пароли, неудивительно, что более 22% аккаунтов в соцсетях и почтовых сервисов подвергаются взлому.

  К сожалению, такие результаты говорят только об одном: пользователи сети интернет никак не могут (или не хотят) использовать ПРАВИЛЬНЫЕ пароли, и продолжают устанавливать на всевозможные аккаунты откровенно слабые пароли. Более того, история подобного рода исследований показывает, что верхние строчки в хит-параде паролей с переменным успехом занимают кодовые последовательности (если их можно так назвать) «12345», «password» и «qwerty», а также их незначительно измененные «соседи» наподобие «123456» или «password1».

  Поэтому я призываю всех пользователей выбирать себе пароли длиной 8-10 символов и состоящие из набора букв и цифр, и которые не содержат данные личной информации, такой как фамилия, дата рождения или номер телефона. Более подробно о правилах выбора надежных паролей можно почитать в этой статье, посвященной созданию надежных паролей.