Наиболее распространенные пароли Wi-Fi

Обновлено: 21.11.2024

Для специалистов по безопасности пароли могут быть либо приятным сюрпризом, либо неприятным напоминанием о том, насколько серьезно конечные пользователи относятся к своим учетным данным безопасности, и обычно это последнее.

Nordpass опубликовал свой ежегодный список 200 самых распространенных паролей, который служит ежегодным напоминанием о том, что создание надежных паролей по-прежнему является проблемой, с которой многие люди по какой-то причине сталкиваются с трудностями. В списке представлены наиболее распространенные пароли в 50 странах, а также информация о том, сколько раз используются пароли и сколько времени требуется для их взлома.

Самый распространенный прошлогодний пароль 123456 остается на первом месте. На самом деле, в Соединенных Штатах более миллиона еще пользователей решили, что этот пароль будет хорошим для использования в 2021 году. выпал из списка. Ниже приведены десять самых распространенных паролей из США и всего мира.

Самые распространенные пароли в 2021 году – США

  1. 123456 — менее одной секунды на взлом, более 3,5 миллионов использований
  2. Пароль: взлом менее одной секунды, более 1,7 миллиона использований
  3. 12345 — менее одной секунды на взлом, более 958 тысяч использований
  4. 123456789 – менее одной секунды на взлом, насчитано более 873 тыс. использований.
  5. password1 — взлом менее одной секунды, насчитано более 666 тыс. попыток.
  6. abc123 — менее одной секунды на взлом, насчитано более 610 тыс. использований
  7. 12345678 — менее одной секунды на взлом, насчитано более 440 тыс. использований.
  8. qwerty — менее одной секунды на взлом, подсчитано более 382 тыс. использований
  9. 11111 — менее одной секунды на взлом, насчитано более 369 тыс. использований.
  10. 1234567 — менее одной секунды на взлом, насчитано более 356 тыс. использований.

Самые распространенные пароли в 2021 году – все страны

  1. 123456 — менее одной секунды на взлом, более 103 миллионов использований.
  2. 123456789 — менее одной секунды на взлом, более 46 миллионов использований.
  3. 12345 — менее одной секунды на взлом, более 32 миллионов использований
  4. qwerty: взлом менее одной секунды, более 22 миллионов использований
  5. пароль: взлом менее одной секунды, более 20 миллионов использований
  6. 12345678 — менее одной секунды на взлом, более 14 миллионов использований.
  7. 111111 — менее одной секунды на взлом, более 13 миллионов использований.
  8. 123123 — менее одной секунды на взлом, более 10 миллионов использований.
  9. 1234567890 — менее одной секунды на взлом, более 9,6 миллионов использований.
  10. 1234567 — менее одной секунды на взлом, 9,3 млн использований.

Дополнительные распространенные пароли включают имена, спортивные команды (популярным паролем является «Ливерпуль»), марки автомобилей, нецензурные слова и животных. Группы также популярны: Metallica и Slipknot входят в число двух самых популярных, а группа One Direction снова появляется после того, как выпала из списка в прошлом году.

Рекомендации по паролю

Мы знаем, что понятие безопасности паролей не является чем-то новым, но, как мы видели выше, ненадежные пароли по-прежнему остаются легкой добычей для злоумышленников. Чтобы помочь сохранить безопасность паролей в центре внимания в конце года, наша команда по кибербезопасности делится некоторыми передовыми методами создания безопасных паролей и политик ниже:

Избегайте неправильных паролей

Видите список выше? Не быть в списке.

Если бы все было так просто, верно? А если серьезно, то всегда нужны хорошие пароли. Тем не менее, их становится все труднее найти. Хороший первый совет по созданию безопасного пароля — избегать тех, которые легко угадать. Некоторые из худших типов паролей, с которыми мы сталкивались, включают:

  • Спортивные команды
  • Дни рождения
  • Имена домашних животных
  • Сезон/месяц/год
  • Адрес
  • Региональные интересы
  • Варианты «Пароль»
  • Увеличенные пароли
  • Повторно использованные пароли

Внедрение черных списков паролей

Даже при наличии политики безопасных паролей конечные пользователи могут создавать пароли, содержащие общие термины или фразы. Одна из растущих мер безопасности, которые организации используют для борьбы с этой проблемой, называется черным списком паролей. Эта тактика ограничивает выбор потенциальных паролей, удаляя из списка общие фразы и термины, а также варианты, в которых используются специальные символы и/или цифры. Старший ИТ-аудитор Сара Худак затрагивает черные списки паролей в одном из наших недавних видеороликов из серии «Главные вопросы кибербезопасности 2021 года».

Создать парольные фразы

Мы рекомендуем конечным пользователям думать о паролях как о парольных фразах. Не ограничивайтесь критериями пароля, такими как длина, цифры и специальные символы, и подумайте о том, что знаете только вы. Соберите случайные слова из личной истории или воспоминаний. Объединение нескольких маленьких слов может увеличить сложность пароля и удовлетворить большинство требований к длине.Помните, что безопасный пароль не является безопасным автоматически, поскольку он соответствует требованиям сайта. Это безопасно, если это известно только вам.

Используйте программное обеспечение для управления паролями

Мы знаем, как сложно запомнить все ваши пароли, особенно учитывая количество уникальных требований с разных сайтов. Один из способов сделать это проще — использовать программное обеспечение для управления паролями, которое действует как своего рода главный замок для ваших паролей. Менеджеры паролей не только повышают удобство защиты паролей, но и помогают создавать надежные пароли с жесткими требованиями. И нет, запись паролей на листке бумаги, который вы прячете под клавиатурой, не является решением для управления паролями.

Создать несколько паролей

Если вы не используете менеджер паролей, наличие уникальных паролей для учетных записей абсолютно необходимо. Первое, что делают злоумышленники при краже пароля, — это видят, какие другие учетные записи он может взломать. Используя стратегию, известную как вброс учетных данных, злоумышленники увидят, сколько учетных записей они могут скомпрометировать с помощью украденных учетных данных, чтобы увеличить свой потенциальный доход. Если вы задумаетесь о том, сколько у вас аккаунтов, использующих один и тот же пароль и имя пользователя/адрес электронной почты, скорее всего, вы увидите потенциальный ущерб от использования одного пароля.

Обновить контрольные вопросы

Секретные вопросы, которые обычно используются для защиты наших аккаунтов. Однако сегодня, когда наши цифровые следы и информация разбросаны по социальным сетям и поисковым системам, они могут стать легкой мишенью для злоумышленников. Подумайте о некоторых наиболее часто задаваемых вопросах и о том, где можно найти ответы, в том числе:

  • День рождения: социальные сети, общедоступные записи.
  • Где вы и ваш супруг познакомились: социальные сети, сайты регистрации браков.
  • В какую среднюю школу вы ходили – социальные сети, общедоступные записи, ассоциации выпускников.
  • Какой была ваша первая работа: социальные сети, профессиональные биографии.

Довольно тревожно, правда? Не забывайте обращаться с ответами на эти вопросы так же, как с паролем, и часто обновляйте их.

Была ли эта статья полезной для вас? Вас также может заинтересовать наша статья Сколько стоит утечка данных в 2021 году? статья.

О кибербезопасности Schneider Downs

Кроме того, наши группы цифровой криминалистики и реагирования на инциденты доступны 24x7x365 по телефону 1-800-993-8937, если вы подозреваете или сталкиваетесь с сетевым инцидентом любого рода.

Вы слышали наши мысли… Мы хотели бы услышать ваши

Блог Schneider Downs Our Thoughts On существует для создания диалога по вопросам, важным для организаций и отдельных лиц. Хотя нам нравится делиться своими идеями и наблюдениями, нам особенно интересно, что вы можете сказать. Если у вас есть вопрос или комментарий по поводу этой статьи — или любой статьи из блога «Наши мысли в блоге» — мы надеемся, что вы поделитесь ею с нами. В конце концов, диалог — это обмен идеями, и мы хотели бы услышать от вас. Напишите нам по адресу [email protected] .

Обсуждаемый материал предназначен только для информационных целей и не должен рассматриваться как инвестиционная, налоговая или юридическая консультация. Обратите внимание, что отдельные ситуации могут различаться. Поэтому на эту информацию следует полагаться при согласовании с индивидуальным профессиональным советом.

© 2022 Шнайдер Даунс. Все права защищены. Все содержимое этого сайта является собственностью Schneider Downs, если не указано иное, и не должно использоваться без письменного разрешения.

Пароли действительно мешают вам и специалистам по кибербезопасности. В этом блоге мы писали о множестве тем, связанных с безопасностью, и ничто так не привлекает людей, как потребность в уникальных паролях для всех ваших онлайн-аккаунтов. «Используйте менеджер паролей, чтобы упростить работу!» мы сказали… «Нет», говорит почти каждый.

Уникальные пароли — это хорошая идея, потому что, если одна онлайн-система будет скомпрометирована, вы не сможете легко получить доступ к другой службе. Узнайте, что произошло в день запуска Disney+, потому что так много людей повторно использовали свои пароли.

Самые распространенные пароли 2020 года

Так какой же самый популярный (т. е. надежный) пароль КАЖДЫЙ год, начиная с 2013 года? Нет, это не «пароль», который идет под номером 4. «qwerty» находится только под номером 3. Нет, чемпион паролей на самом деле «123456». А его более длинный двоюродный брат находится под номером 2 «123456789» в соответствии с 25 самыми распространенными паролями SplashData. Список SplashData основан на анализе миллионов паролей, утекших в Интернет.

  1. 123456
  2. 123456789
  3. qwerty
  4. пароль
  5. 1234567

Некоторые другие особенности списка наиболее распространенных паролей 2020 года включают:

Очевидно, что здесь много романтиков. Или, может быть, люди, использующие этот пароль, говорят о Netflix? Кто бы знал.

Проблема со списком заключается в том, что он не меняется из года в год. В течение большей части десятилетия простые пароли, подобные приведенным в списке, считались наиболее часто используемыми во всех случаях утечки данных.

Самые распространенные пароли 2019 года

Вот самые популярные и, следовательно, наименее безопасные пароли SplashData в 2019 году.

  1. 123456
  2. 123456789
  3. qwerty
  4. пароль
  5. 1234567
  6. 12345678
  7. 12345
  8. люблю тебя
  9. 111111
  10. 123123

Сравните это с другими списками паролей от NordPass, и Национальный центр кибербезопасности Великобритании показывает очень похожие результаты. И сравнение со списком SplashData за 2018 год показывает, что по сравнению с прошлым годом особых изменений не произошло.

Проблемы с корпоративными паролями

Компании все чаще используют службы многофакторной аутентификации (MFA) и единого входа (SSO) для повышения безопасности. Тем не менее слишком многие сотрудники «по-прежнему не соблюдают гигиену паролей, что ослабляет общий уровень безопасности их компании», согласно 3-му ежегодному глобальному отчету о безопасности паролей (2019 г.) от LogMeIn.

Усталость от паролей — это реальная проблема, которая приводит к отсутствию защиты паролей. Dashlane недавно опросила 1000 человек об их привычках безопасности и обнаружила интересные статистические данные:

  • 89 % потребителей чувствовали себя в безопасности благодаря своему нынешнему управлению паролями и привычкам их использования.
  • однако 61 % использовали пароли на нескольких сайтах

В какой возрастной группе пароли чаще всего использовались повторно? Ответ может вас удивить…

Сколько аккаунтов в среднем есть у человека?

130. Это действительно много, и многие из них являются старыми аккаунтами.

11% используют один и тот же пароль во ВСЕХ своих аккаунтах.
49% повторно используют свои пароли только для «неконфиденциальных» учетных записей.
40% считают, что они никогда не используют свои пароли повторно.

Что насчет многофакторной аутентификации (MFA)?

Его используют 48 %.
33% не знают, что это такое.

«Пароли традиционно были первой линией защиты для компаний, но они по-прежнему вызывают разочарование и риск», — говорит Джон Беннетт, генеральный менеджер по управлению идентификацией и доступом в LogMeIn. «Более того, совместное использование и повторное использование паролей остается обычной практикой в ​​большинстве компаний: сотрудники повторно используют один пароль в среднем 13 раз».

В целом проблема с паролями сопряжена со значительным риском для предприятий. Отчет Verizon о расследовании утечек данных за 2019 год показывает, что 80% утечек данных можно отследить по слабым или скомпрометированным паролям. Так что, вероятно, не стоит продолжать использовать какой-либо из самых распространенных паролей 2020 года.

Советы по повышению безопасности пароля

Требовать использования менеджера паролей

Приложения для управления паролями для бизнес-пользователей (такие как 1Password, Dashlane и LastPass) в настоящее время являются лучшим способом снижения рисков, связанных с паролями для отдельных лиц и организаций. Менеджеры паролей недороги и просты в развертывании, предоставляя пользователям возможность генерировать и хранить длинные случайные пароли. Вы также можете добавить уровень Многофакторной аутентификации поверх Менеджера паролей, чтобы еще больше обезопасить свое хранилище паролей.

Один пароль лучше запомнить, чем 130.

Требовать использования многофакторной идентификации

Как и выше, если MFA доступен для используемой вами онлайн-системы, пожалуйста, включите его! У вас есть смартфон, поэтому используйте его в качестве токена MFA вместе со сверхнадежным паролем. Nothings на 100 % безопасен, но, по крайней мере, вы не будете низко висящим фруктом.

Не позволяйте пользователям создавать пароли со словами из словаря

Одно для системных администраторов: не позволяйте пользователям создавать пароли, содержащие словарные слова. Это системное изменение вынуждает пользователей создавать сложные пароли — в сочетании с диспетчером паролей и хакером, скорее всего, они перейдут к более легким целям.

Объясните пользователям, что делает пароль безопасным

Надежный пароль не появляется нигде в общедоступной области (например, в словарях), не появляется нигде в частной области (например, в других учетных записях пользователей) и содержит такое количество случайных символов, что потребовалась бы вечность. чтобы угадать пароль, даже используя методы грубой силы или радужной таблицы, — говорит Арчер.

В этом году компания SplashData, специализирующаяся на интернет-безопасности, публикует список наихудших паролей, в который входят самые распространенные пароли 2022 года. Фирма публикует этот список каждый год, в который входят самые распространенные пароли года. Основным источником являются утечки данных, которые происходят во время утечки личных данных в темной сети.

Наши технологические разработки развиваются день ото дня. А при этом все идет в онлайн. Только некоторые исключительные поля не перешли в режим онлайн из-за некоторых опасений. Иначе все уйдет в онлайн. Поэтому все, что нам нужно для доступа к ним, — это зарегистрироваться и войти на соответствующие сайты. Этот процесс создал множество учетных данных на многих сайтах, которыми нам нужно управлять. Поскольку мы ленивы с самого начала, мы сохраняем одни и те же пароли для большинства сайтов. Многие из нас держат простые пароли, поэтому нам нелегко их забыть. Однако эта ваша привычка может быть слишком опасной для вас.

Каждый год в первый четверг мая мы отмечаем День паролей, чтобы привлечь внимание к важности надежных паролей. Когда мы сохраняем простые пароли, хакерам становится легко взломать вашу учетную запись. Методы грубой силы или радужной таблицы могут легко взломать ваши пароли, а ваши важные данные и активы находятся в опасности. Их могут украсть или украсть. В обоих случаях вы в проигрыше.

100 самых распространенных паролей 2022 года

Теперь поговорим о самых распространенных паролях 2022 года. Если ваш пароль есть в этом списке, вам необходимо немедленно сменить пароль, чтобы защитить свою учетную запись.

10 самых распространенных паролей 2022 года по версии SplashData:

  1. 123456
  2. 123456789
  3. qwerty
  4. пароль
  5. 1234567
  6. 12345678
  7. 12345
  8. люблю тебя
  9. 111111
  10. 123123

Многие пароли остаются обычными на протяжении многих лет, потому что люди игнорируют подобные факты и не обращают внимания, пока не становятся жертвами мошенничества или мошенничества.

Помимо наиболее распространенных паролей 2022 года, мы собрали распространенные пароли последних лет, также опубликованные Splashdata. Пожалуйста, измените свой пароль, если он присутствует в списке ниже. Это принесет вам пользу в долгосрочной перспективе.

  • 987654321
  • qwertyuiop
  • мой нуб
  • 123321
  • 666666
  • 18atcskd2w
  • 7777777
  • 1q2w3e4r
  • 654321
  • 555555
  • 3rjs1la7qe
  • гугл
  • 1q2w3e4r5t
  • 123qwe
  • zxcvbnm
  • 1q2w3e
  • abc123
  • обезьяна
  • пожалуйста
  • футбол
  • дракон
  • бейсбол
  • Войти
  • солнце
  • мастер
  • супермен
  • привет

Многие из наиболее распространенных паролей 2022 года содержат не более 6 букв, что упрощает их угадывание и поиск для хакерских алгоритмов.

100 самых неудачных паролей

Вот 100 наихудших паролей. Если вы нашли свой пароль в этом списке, вам необходимо немедленно изменить свои пароли. Кроме того, вы можете найти полный список самых сложных паролей в мире в отчете NordPass.

  1. 12345
  2. 123456
  3. 123456789
  4. тест1
  5. пароль
  6. 12345678
  7. цинк
  8. g_czechout
  9. asdf
  10. qwerty
  11. 1234567890
  12. 1234567
  13. Aa123456.
  14. люблю тебя
  15. 1234
  16. abc123
  17. 111111
  18. 123123
  19. дабсмэш
  20. проверить
  21. принцесса
  22. qwertyuiop
  23. солнце
  24. Бвттест123
  25. 11111
  26. Эшли
  27. 00000
  28. 000000
  29. пароль1
  30. обезьяна
  31. живое тестирование
  32. 55555
  33. футбол
  34. Чарли
  35. asdfghjkl
  36. 654321
  37. семья
  38. Майкл
  39. 123321
  40. футбол
  41. бейсбол
  42. q1w2e3r4t5y6
  43. Николь
  44. Джессика
  45. фиолетовый
  46. тень
  47. Ханна
  48. шоколад
  49. Мишель
  50. Даниэль
  51. Мэгги
  52. qwerty123
  53. привет
  54. 112233
  55. Иордания
  56. тигр
  57. 666666
  58. 987654321
  59. супермен
  60. 12345678910
  61. лето
  62. 1q2w3e4r5t
  63. фитнес
  64. Бейли
  65. zxcvbnm
  66. иди нахуй
  67. 121212
  68. бастер
  69. бабочка
  70. дракон
  71. Дженнифер
  72. аманда
  73. Джастин
  74. файл cookie
  75. баскетбол
  76. покупки
  77. перец
  78. Джошуа
  79. охотник
  80. имбирь
  81. Мэттью
  82. abcd1234
  83. Тейлор
  84. саманта
  85. что угодно
  86. Эндрю
  87. 1qaz2wsx3edc
  88. Томас
  89. жасмин
  90. анимото
  91. Мэдисон
  92. 0987654321
  93. 54321
  94. цветок
  95. Пароль
  96. Мария
  97. девочка
  98. прекрасно
  99. софи
  100. Чегг123

Необходимые меры предосторожности

Если вы не понимаете, что делать дальше, не волнуйтесь, у нас есть превентивные меры, чтобы ваш пароль был безопасным и надежным.

Эти методы обеспечат вам наилучшую защиту от тех, кто хочет атаковать ваши аккаунты.

  • Не используйте словарные слова в качестве пароля.
  • Не используйте легко угадываемые слова, такие как название места, вида спорта, команды или любых других ваших любимых вещей.
  • Для достижения наилучших результатов используйте комбинацию букв, цифр и символов.
  • Создайте пароль, комбинируя случайные слова.
  • Используйте приложения Менеджера паролей для сохранения паролей.
  • Используйте анализатор надежности пароля, чтобы проверить уровень уязвимости вашего пароля.
  • Если доступно, используйте многоэтапную аутентификацию. Сейчас это лучший вариант.

В текущем сценарии все, что вам нужно сделать, это войти на сайт, чтобы делать то, что вы хотите. Это варьируется от покупок товаров до бронирования билетов и оплаты счетов, и все это онлайн. Теперь мы обязаны обеспечить безопасность себя и своих близких.

Нам необходимо информировать других о важности безопасного и надежного пароля, потому что в будущем, когда все станет онлайн, а мы по-прежнему будем использовать общие пароли, это станет для нас большим недостатком. Тем, кто не понимает, что мы должны рассказать им о важности кибербезопасности, потому что теперь мы можем относиться к ней легкомысленно. Тем не менее, есть люди, которые столкнулись с потерей из-за глупости.

Пит Митчелл

Пит – старший штатный писатель TechCult. Пит любит все, что связано с технологиями, а также в глубине души является заядлым мастером-сделай сам. У него десятилетний опыт написания инструкций, руководств по функциям и технологиям в Интернете.


Porcorex / Bluebay2014 / Getty Images

Всплывающие вопросы: какой пароль был самым популярным и, следовательно, наименее безопасным каждый год, начиная с 2013 года? Если бы вы ответили «пароль», вы были бы близки. «Qwerty» — еще один претендент на сомнительное звание, но чемпионом является самый простой и очевидный пароль, какой только можно вообразить: «123456».

Да, множество людей по-прежнему используют «123456» в качестве пароля, согласно рейтингу NordPass «200 самых распространенных паролей за 2020 год», который основан на анализе паролей, раскрытых в результате утечки данных. Шестизначная последовательность также занимала высокие места в других списках на протяжении многих лет; SplashData, которая составила списки с использованием аналогичной методологии, обнаружила «123456» на втором месте в 2011 и 2012 годах; затем он поднялся на первое место, где оставался каждый год вплоть до 2019 года.

Множество других эпически ненадежных паролей продолжают позорить ежегодный зал паролей, включая вышеупомянутый «пароль» (всегда в пятерке лучших и №1 в 2011 и 2012 годах); «qwerty» (всегда в первой десятке); и немного более длинный вариант действующего чемпиона «12345678» (всегда в первой шестерке).

10 самых распространенных паролей 2020 года

В соответствии со списком самых распространенных паролей NordPass это 10 наиболее часто используемых и худших паролей 2020 года:

  1. 123456
  2. 123456789
  3. картинка1
  4. пароль
  5. 12345678
  6. 111111
  7. 123123
  8. 12345
  9. 1234567890
  10. сенха

Другие списки наихудших паролей, такие как SplashData и Национальный центр кибербезопасности Великобритании, в основном совпадают. Легко угадываемые числовые последовательности и «слова», состоящие из букв, непосредственно примыкающих друг к другу на стандартной QWERTY-клавиатуре, всегда популярны; то же самое и с фразой «люблю тебя», потому что мы — разновидность безнадежных романтиков. Еще один постоянный победитель, вызывающий съеживание, — это слово «пароль».На этой ноте одним новым дополнением к списку NordPass в этом году было «senha», что в переводе с португальского означает, как вы уже догадались, «пароль». не более озабочены безопасностью, чем носители английского языка.

Вот самые распространенные пароли за последние три года:

На пути к лучшей безопасности паролей

Компании все чаще используют службы многофакторной аутентификации (MFA) и единого входа (SSO) для повышения безопасности. Тем не менее слишком многие сотрудники «по-прежнему не соблюдают гигиену паролей, что ослабляет общий уровень безопасности их компании», согласно 3-му ежегодному глобальному отчету о безопасности паролей (2019 г.) от LogMeIn.

Неудивительно, что многие сотрудники устали от паролей, что, в свою очередь, приводит к слабой защите паролей. Отчет LogMeIn показывает, что пользователи в крупных компаниях (от 1 001 до 10 000 сотрудников) имеют в среднем 25 паролей, с которыми приходится бороться. Проблема более актуальна для пользователей малого бизнеса (25 и менее сотрудников), у которых есть в среднем 85 паролей для жонглирования. Сотрудники СМИ/рекламной индустрии используют наибольшее количество паролей — в среднем 97 — по сравнению с 54 паролями на одного сотрудника в правительстве (сектор с наименьшим средним количеством паролей на одного сотрудника).

По словам Роберта О'Коннора, директора по информационным технологиям сообщества Neocova и бывшего заместителя директора ЦРУ по корпоративной информационной безопасности, существует три основных способа взлома паролей: угадывание (с помощью человек), взлом (алгоритмическим подбором), и захват (путем получения доступа к месту, где был сохранен пароль, будь то в базе данных или на стикере). Каждый из следующих методов пытается смягчить один или несколько из этих методов; например, пароли с личной информацией легче угадать, а более короткие пароли легче взломать.

Вот что говорят эксперты о проблемах с корпоративными паролями и советы по улучшению паролей и безопасности аутентификации.

Требовать использования менеджера паролей. Приложения для управления паролями для бизнес-пользователей (такие как 1Password, Dashlane и LastPass) являются эффективным первым шагом к снижению рисков безопасности, связанных с паролями, отмечает доктор Дэвид Арчер, ведущий научный сотрудник в области криптографии и многосторонних вычислений в исследовательской и консалтинговой фирме Galois. Он рекомендует, чтобы корпоративные пользователи использовали менеджеры паролей для создания и хранения длинных паролей со всеми параметрами алфавита (например, буквами смешанного регистра). Он добавляет, что при наличии менеджера паролей у пользователей должно быть только два пароля, которые им нужно помнить: пароль к приложению диспетчера паролей и пароль к учетной записи компьютера, в которую пользователь входит каждый день.

Требовать использования многофакторной аутентификации (MFA). Факторы MFA включают в себя то, что вы знаете (пароль), что у вас есть (устройство, например смартфон) и кто вы (сканирование отпечатков пальцев или распознавания лиц). По словам Джастина Харви, руководителя глобального реагирования на инциденты в Accenture Security, использование MFA для запроса проверки, например кода, отправленного на мобильное устройство, в дополнение к использованию надежных уникальных паролей может помочь обеспечить лучшую защиту предприятия.

Не позволяйте пользователям создавать пароли со словами из словаря. При атаке методом перебора по словарю преступник использует программное обеспечение, которое систематически вводит каждое слово в словарь, чтобы подобрать пароль. Чтобы предотвратить такие атаки, многие эксперты не рекомендуют использовать слова, которые существуют в словаре.

Длина имеет значение, а фразы длиннее слов. Тем не менее, давний акцент на странных или «особых» символах, которых нет в обычных словах, может игнорировать общую картину. Вместо этого «Длина — это сила», — говорит Тайлер Моффит, старший аналитик по безопасности в Webroot. «С криптографической точки зрения более длинные пароли гораздо труднее взломать, чем более короткие, даже если используются специальные символы. Такой пароль, как «AN3wPw4u!» гораздо проще для автоматизированного криптографического взломщика, чем пароль типа «SnowWhiteAndTheSevenDwarves».

Не используйте пароли, содержащие информацию о них. Не используйте в пароле имена супругов, домашних животных, город проживания, место рождения или любую другую информацию, позволяющую установить личность, поскольку эта информация может быть получена из учетных записей пользователя в социальных сетях. «У хакера гораздо больше шансов угадать «имя вашего питомца + 1234» в качестве вашего пароля, чем выяснить, что ваш пароль — «D2a5n6fian71eTBa2a5er», — говорит Дэйви. Александр Маклаков, ИТ-директор MacKeeper, предлагает использовать более длинную парольную фразу, например "ImgoingtorunBostonMarathon2022", которая связана с вашими личными целями, но не включает личную информацию, которую легко найти.

Объясните пользователям, что такое надежный пароль.Надежный пароль не появляется нигде в общедоступной области (например, в словарях), не появляется нигде в частной области (например, в других учетных записях пользователей) и содержит такое количество случайных символов, что потребовалась бы целая вечность, чтобы угадать пароль. пароль, даже при использовании методов грубой силы или радужной таблицы, говорит Арчер. Кэмерон Буланда, инженер по безопасности в Infosec, предлагает живую демонстрацию процесса взлома паролей, чтобы донести мысль. «Хотя многие из этих инструментов могут использоваться со злым умыслом, специалисты по безопасности могут использовать их, чтобы показать реальный пример того, как усложнение паролей защищает пользователей от атак, особенно от атак методом грубой силы», — говорит он.

Регулярно проводите аудит паролей. В идеале ваша организация должна использовать систему аутентификации, позволяющую проводить аудит паролей, говорит Тим ​​Макки, главный специалист по стратегии безопасности в Исследовательском центре кибербезопасности Synopsys (CyRC). «Ищите такие вещи, как повторное использование паролей сотрудниками или использование общих слов или общих слов с простой заменой символов. Если вы обнаружите слабый пароль, используйте мероприятие как возможность для обучения пользователей».

Поощряйте пользователей проверять свои собственные пароли. Существует ряд ресурсов, которые позволят пользователям исследовать, насколько безопасен потенциальный пароль, прежде чем они введут его в действие. Например, Маклаков из MacKeeper указывает на тест надежности пароля My1Login, который сообщает вам, сколько времени потребуется типичному алгоритму для взлома вашего пароля, или «Меня взломали?», который сравнивает ваш пароль с обширной базой данных взломанных учетных данных, циркулирующих в темноте. Интернет.

Не осуждайте ошибки. Создайте среду, в которой сотрудники будут чувствовать себя комфортно, поднимая вопросы или беспокоясь о безопасности, особенно если они подозревают, что могли ошибиться, предлагает Дейви из 1Password. «Не очерняйте людей», — говорит он, потому что они могут бояться сказать вам, когда совершили ошибку. «Если вы знаете о проблемах безопасности по мере их возникновения, вы можете быстро реагировать на первоначальную угрозу и предпринимать шаги, чтобы предотвратить ее появление в будущем».

И последнее замечание: «традиционный» подход к паролям развивается, и многие советы, которые раньше считались само собой разумеющимися, теперь считаются ошибочными или устаревшими. Например, самая последняя версия рекомендаций NIST по паролям, широко считающаяся золотым стандартом в этой области, не рекомендует часто принуждать пользователей регулярно сбрасывать пароль, поскольку пользователям обременительно придумывать несколько высококачественных паролей. паролей, и многие в конечном итоге меняют свои предыдущие пароли предсказуемым образом — например, просто заменяя знак доллара на букву S.

NIST также рекомендует предоставлять пользователям возможность отображать пароли при их вводе; это повышает вероятность того, что пользователи будут придумывать более длинные и сложные пароли, что более чем уравновешивает вероятность того, что кто-то мошенник может прочитать пароль через плечо пользователя. Общий вывод заключается в том, что ваши политики паролей должны развиваться, как и остальная часть вашей программы безопасности. Это не значит, что вы делали что-то неправильно, просто вы работаете в динамичной и быстро развивающейся отрасли!

Примечание редактора. Эта статья, первоначально опубликованная в 2020 году, была обновлена, чтобы более точно отражать последние тенденции.

Читайте также: