Согласно данным отчета за 2014 года наиболее распространенным был пароль “Password1″.
Увы, но проблема паролей, как мне кажется, вечна. Использование слабых паролей или паролей, заданных по умолчанию, ставит под угрозу ваш бизнес. Однако эта проблема все еще существует. Несмотря на все требования администраторов IT создать надежные пароли, пользователи все еще находят способы удовлетворять этим требованиям, при этом фактически не создавая более сильные пароли.
В ходе создания отчета специалисты Trustwave поставили себе цель определять, насколько легко взломать выборку 626 718 хешированных паролей, собранных во время тысяч сетевых тестов на проникновение, выполненных в 2013 и 2014 году. Большинство выборки составлено из Active Directory и включает Windows LAN Manager (LM) — и NT LAN Manager (NTLM) на основе паролей.
В ходе попытки восстановления паролей в течение нескольких минут было восстановлено более половины паролей. В конечном счете за 31 день было восстановлено 576 533 паролей или почти 92 процента выборки.
В процессе восстановления было использовано два компьютера- первый стоил $1800 (Intel Core i7 Ivy Bridge Quad Core Processor, 16 гигабайт оперативной памяти и две видеокарты AMD Radeon 7970). Второй компьютер — AMD FX-8320 8 Core Processor, 16 гигабайт ОЗУ и четыре видеокарты AMD Radeon 7970 общей стоимостью $2,700 USD. При использовании ресурсов видеокарт существенно возрастает скорость взлома паролей, ведь видеокарта Radeon 7970 AMD, которая стоит 350$, может выполнить 17.3 миллиардов вычислений хеша NTML в секунду по сравнению с ЦП Core-i7-3770K Intel, стоящим 320$ и разогнанным до 700 МГц, который может выполнить 246 миллионов вычислений хеша NTLM в секунду.
Неправильные представления, о сложности и длине пароля
Многие пользователи и некоторые администраторы IT неправильно предполагают, что, используя различные прописные буквы, строчные буквы, числа и специальные символы в пароле, они сделают его более безопасным. Практика, однако, показывает, что если угадать человеку сложнее такой пароль, то это не делает восстановление пароля более ресурсоемким или сложным для инструментов взлома пароля. Только увеличение числа символов в пароле существенно влияет на время взлома.
В ходе восстановления паролей применялась атака методом перебора (Brute Force). Атака перебором включает вычисление хешей для потенциальных паролей и сравнения их с хешами паролей, которые атакующий хочет взломать. Если хеши равны, пароль взломан.
Автоматизированный инструмент может взломать абсолютно случайный восьмисимвольный пароль включая все четыре символьных типа, такой как “N^a&$1nG”, намного быстрее чем 28-символьный пароль включающий только строчные и прописные буквы, такой как “GoodLuckGuessingThisPassword”. Если в данной атаке мы предполагаем, что атакующий знает длину паролей, и типы используемых символов, “N^a&$1nG” может быть взломан приблизительно через 3.75 дня, используя один AMD R290X GPU. Напротив, атакующему требовались бы 17.74 лет, чтобы взломать “GoodLuckGuessingThisPassword” при использовании того же самого GPU.
Статистика
Для взлома паролей также использовалась атака по словарю, используя список слов, создаваемый из прошлогоднего исследования пароля. В течение только нескольких минут было восстановлено53.97 процента паролей в пределах выборки. Такое короткое время взлома, используя список слов прошлогоднего исследования показывает, что пароли увы, предсказуемы, как всегда. Чаще всего при этом использовался пароль “Password1″.
TOP-10 паролей
| Значение пароля | Количество | |
| 1 | Password1 | 2984 |
| 2 | Hello123 | 2587 |
| 3 | password | 2458 |
| 4 | Welcome1 | 1697 |
| 5 | banco@1 | 1486 |
| 6 | training | 1250 |
| 7 | Password123 | 1071 |
| 8 | job12345 | 1003 |
| 9 | spring | 902 |
| 10 | food1234 | 820 |
Длина пароля коррелировала с подобным образцом, обнаруженным в прошлом году. Пароли, как правило, были восьмисимвольными, потому что как правило, политика безопасности не требует более длинных паролей.
Распределение длины взломанных паролей
Длина взломанных паролей составляет от 1 до 26 символов.
Кроме того, стоит учесть, что пароли были предсказуемы. И в 2013 и в 2014 были наиболее распространенными комбинации, включающие прописные буквы, строчные буквы и цифры.
Типичные шаблоны паролей
Вместе с тем можно предсказать даже упорядочивание символьных типов. Последовательность из шести строчных букв и двух цифр в отчете 2013 года встречалась в 10 процентах взломанных паролей. Та же самая последовательность стояла первой в списке в отчете этого года.
Типичные шаблоны паролей
| Используемые символы и комбинации | Количество | % |
| Строчные буквы и цифры | 212158 | 36.799% |
| Строчные, прописные буквы и цифры | 201447 | 34.941% |
| Только цифры | 72425 | 12.562% |
| Прописные строчные буквы, цифры и специальные символы | 36386 | 6,310% |
| Цифры и специальные символы | 24354 | 4,224% |
| Строчные буквы | 12205 | 2,117% |
| Прописные буквы и цифры | 7306 | 1,267% |
| Строчные буквы, цифры и специальные символы | 3966 | 0,688% |
| Строчные, прописные буквы и специальные символы | 3068 | 0,532% |
| Прописные буквы, цифры и специальные символы | 1309 | 0,227% |
| Строчные и прописные | 959 | 0,166% |
| Прописные буквы и специальные символы | 407 | 0,071% |
Типовые шаблоны паролей
| Типы символов и шаблоны | Количество | % |
| LLLLLLNN | 102386 | 17.76% |
| NNNNNN | 68332 | 11.85% |
| ULLLLLNN | 24896 | 4-32% |
| LLLLLNNN | 24736 | 4.29% |
| LLLLNNNN | 23259 | 4-03% |
| ULLLLNNN | 15375 | 2.67% |
| ULLLLLLNN | 11999 | 2.08% |
| ULLLLLLN | Ю29У | 1.79% |
| ULLLLLLLN | 10044 | 1.74% |
| ULLLLLNNNN | 9242 | 1.60% |
| ULLLNNNN | 9103 | 1.58% |
| ULLLLLLLNN | 7920 | 137% |
| ULLLLNNNN | 7793 | 135% |
| LLLLLLLL | 6778 | i.i 8% |
| ULLLLLN | 5455 | 0.95% |
| ULLLLLNNN | 5453 | 0.95% |
| LLLLLLLNN | 5366 | 0.93% |
| LLLLLNN | 4687 | 0.81% |
| UUUUUNNN | 4653 | 0.81% |
| ULLLLLLNNN | 4332 | 0.75% |
| ULLLLLLNNNN | 4274 | 0.74% |
| LLLNNNN | 3829 | 0.66% |
| LLLLLLLLNN | 3545 | 0.61% |
| ULLLLLLLLNN | 3181 | 0.55% |
| LLLLLLLN | 3138 | 0.54% |
L – строчные буквы
U – прописные буквы
N — цифры
Наиболее часто встречающиеся слова
| Пароль | Количество | % |
| Мужское имя ребенка | 12042 | 2.09% |
| Кличка собаки | 9224 | 1.60% |
| Женское имя ребенка | 803s | 1.39% |
| Название одного из наибольших городов США | 2244 | 0.39% |
| Название одного из 700 наибольших городов мира | 2113 | 0.37% |
| Название штата в США | 815 | 0.14% |
Заключение
Слабые пароли или пароли по умолчанию, применяются в одной трети всех паролей, обследованных Trustwave. Поэтому, избавьтесь от слабых паролей: Реализуйте политики устойчивой аутентификации. Расскажите пользователям о значении выбора более длинных паролей вместо простых, легких к взлому паролей. Используйте двухфакторную аутентификацию для сотрудников, получающих доступ к сети. Безопасное хранение пароля, объединенное с образованными пользователями и должным образом разработанной политикой паролей поможет вам повысить уровень вашей безопасности.
