С небольшим отрывом за ними аналогичные предыдущему набору символов пароли, состоящие из символов английского алфавита в нижнем регистре, но с усложнением пароля за счет использования в нем цифр. На долю паролей, состоящих из символов английского алфавита в нижнем регистре и цифр, пришлось в 17% от числа всех проанализированных паролей.
Такие данные приводит Дмитрий Евтеев, эксперт по информационной безопасности отдела консалтинга и аудита компании Positive Technologies, в своем исследовании "Анализ проблем парольной защиты в российских компаниях", основные положения которого опубликованы на сайте Security Lab.
Как показывает многолетний опыт компании Positive Technologies по проведению тестирований на проникновение и аудитов информационной безопасности, зачастую, слабая парольная политика или повсеместное ее несоблюдение приводит к возможности компрометации различных участков информационной системы, и как следствие, позволяет реализовать несанкционированный доступ к информации различного уровня критичности.
Вероятность реализации различного рода угроз в информационных системах, базирующихся на однофакторной модели аутентификации с использованием парольной фразы, во многом усугубляет присутствие человеческого фактора.
Проводя параллель между данными исследований, проводимых за рубежом, и полученными результатами проведенного исследования в отношении используемых паролей российскими пользователями, Евтеев обнаружил, что результаты обоих исследований во многом расходятся.
Так, полюбившийся пароль "password" (вторая позиция наиболее распространенных паролей) зарубежному пользователю, содержится на 135-й позиции по результатам исследования паролей российских пользователей. А популярное слово в качестве пароля "pussy", которое по данным Марка Бернетта занимает пятую строчку наиболее распространенных паролей, не используется российскими пользователями вообще.
С другой стороны, пользователи российских компаний предпочитают использовать в качестве паролей наборы, расположенных рядом символов на клавиатуре, такие как 1234567, 12345678, qweasd, qwerty и т.д. Также было замечено, что в случае, когда информационная система никак не ограничивала пользователя в творческом процессе создания пароля (ограничение на длину и сложность задаваемого пароля), то пользователи с успехом использовали в качестве пароля пустые строки: пустая строка занимает четвертое место в рейтинге исследования.
До 4% от числа всех проанализированных паролей полностью совпадают с используемым логином, а около 15% содержатся в публично распространяемых словарях. Подобная ситуация в значительной степени упрощает процесс реализации несанкционированного доступа злоумышленнику, действующему удаленно.
В целом же, отмечает исследователь, 74% используемых паролей пользователями в корпоративном секторе не соответствуют требованиям стандарта по защите информации в индустрии платежных карт PCI DSS.
Данные стандарты в том, что касается паролей, требуют:
- до подключения системы к сети должны быть изменены параметры, заданные производителем по умолчанию (например, пароли, SNMP-строки), а также удалены не используемые учетные записи;
- длина паролей должна составлять не менее 7 символов;
- пароли должны содержать как цифры, так и буквы.