Пароли 2014. Результаты анализа

Согласно данным отчета за 2014 года наиболее распространенным был пароль “Password1″.

Увы, но проблема паролей, как мне кажется, вечна. Использование слабых паролей или паролей, заданных по умолчанию, ставит под угрозу ваш бизнес. Однако эта проблема все еще существует. Несмотря на все требования администраторов IT создать надежные пароли, пользователи все еще находят способы удовлетворять этим требованиям, при этом фактически не создавая более сильные пароли.

 

В ходе создания отчета специалисты Trustwave поставили себе цель определять, насколько легко взломать выборку 626 718 хешированных паролей, собранных во время тысяч сетевых тестов на проникновение, выполненных в 2013 и 2014 году. Большинство выборки составлено из Active Directory и включает Windows LAN Manager (LM) — и NT LAN Manager (NTLM) на основе паролей.

В ходе попытки восстановления паролей в течение нескольких минут было восстановлено более половины паролей. В конечном счете за 31 день было восстановлено 576 533 паролей или почти 92 процента выборки.

В процессе восстановления было использовано два компьютера- первый стоил $1800 (Intel Core i7 Ivy Bridge Quad Core Processor, 16 гигабайт оперативной памяти и две видеокарты AMD Radeon 7970). Второй компьютер — AMD FX-8320 8 Core Processor, 16 гигабайт ОЗУ и четыре видеокарты AMD Radeon 7970 общей стоимостью $2,700 USD. При использовании ресурсов видеокарт существенно возрастает скорость взлома паролей, ведь видеокарта Radeon 7970 AMD, которая стоит 350$, может выполнить 17.3 миллиардов вычислений хеша NTML в секунду по сравнению с ЦП Core-i7-3770K Intel, стоящим 320$ и разогнанным до 700 МГц, который может выполнить 246 миллионов вычислений хеша NTLM в секунду.

Неправильные представления, о сложности и длине пароля

Многие пользователи и некоторые администраторы IT неправильно предполагают, что, используя различные прописные буквы, строчные буквы, числа и специальные символы в пароле, они сделают его более безопасным. Практика, однако, показывает, что если угадать человеку сложнее такой пароль, то это не делает восстановление пароля более ресурсоемким или сложным для инструментов взлома пароля. Только увеличение числа символов в пароле существенно влияет на время взлома.

В ходе восстановления паролей применялась атака методом перебора (Brute Force). Атака перебором включает вычисление хешей для потенциальных паролей и сравнения их с хешами паролей, которые атакующий хочет взломать. Если хеши равны, пароль взломан.

Автоматизированный инструмент может взломать абсолютно случайный восьмисимвольный пароль включая все четыре символьных типа, такой как “N^a&$1nG”, намного быстрее чем 28-символьный пароль включающий только строчные и прописные буквы, такой как “GoodLuckGuessingThisPassword”. Если в данной атаке мы предполагаем, что атакующий знает длину паролей, и типы используемых символов, “N^a&$1nG” может быть взломан приблизительно через 3.75 дня, используя один AMD R290X GPU. Напротив, атакующему требовались бы 17.74 лет, чтобы взломать “GoodLuckGuessingThisPassword” при использовании того же самого GPU.

Статистика

Для взлома паролей также использовалась атака по словарю, используя список слов, создаваемый из прошлогоднего исследования пароля. В течение только нескольких минут было восстановлено53.97 процента паролей в пределах выборки. Такое короткое время взлома, используя список слов прошлогоднего исследования показывает, что пароли увы, предсказуемы, как всегда. Чаще всего при этом использовался пароль “Password1″.

TOP-10 паролей

Значение пароляКоличество
1Password12984
2Hello1232587
3password2458
4Welcome11697
5banco@11486
6training1250
7Password1231071
8job123451003
9spring902
10food1234820

Длина пароля коррелировала с подобным образцом, обнаруженным в прошлом году. Пароли, как правило, были восьмисимвольными, потому что как правило, политика безопасности не требует более длинных паролей.

Распределение длины взломанных паролей

Длина взломанных паролей составляет от 1 до 26 символов.

Кроме того, стоит учесть, что пароли были предсказуемы. И в 2013 и в 2014 были наиболее распространенными комбинации, включающие прописные буквы, строчные буквы и цифры.

Типичные шаблоны паролей

Вместе с тем можно предсказать даже упорядочивание символьных типов. Последовательность из шести строчных букв и двух цифр в отчете 2013 года встречалась в 10 процентах взломанных паролей. Та же самая последовательность стояла первой в списке в отчете этого года.

Типичные шаблоны паролей

Используемые символы и комбинацииКоличество%
Строчные буквы и цифры21215836.799%
Строчные, прописные буквы и цифры20144734.941%
Только цифры7242512.562%
Прописные строчные буквы, цифры и специальные символы363866,310%
Цифры и специальные символы243544,224%
Строчные буквы122052,117%
Прописные буквы и цифры73061,267%
Строчные буквы, цифры и специальные символы39660,688%
Строчные, прописные буквы и специальные символы30680,532%
Прописные буквы, цифры и специальные символы13090,227%
Строчные и прописные9590,166%
Прописные буквы и специальные символы4070,071%

Типовые шаблоны паролей

Типы символов и шаблоныКоличество%
LLLLLLNN10238617.76%
NNNNNN6833211.85%
ULLLLLNN248964-32%
LLLLLNNN247364.29%
LLLLNNNN232594-03%
ULLLLNNN153752.67%
ULLLLLLNN119992.08%
ULLLLLLNЮ29У1.79%
ULLLLLLLN100441.74%
ULLLLLNNNN92421.60%
ULLLNNNN91031.58%
ULLLLLLLNN7920137%
ULLLLNNNN7793135%
LLLLLLLL6778i.i 8%
ULLLLLN54550.95%
ULLLLLNNN54530.95%
LLLLLLLNN53660.93%
LLLLLNN46870.81%
UUUUUNNN46530.81%
ULLLLLLNNN43320.75%
ULLLLLLNNNN42740.74%
LLLNNNN38290.66%
LLLLLLLLNN35450.61%
ULLLLLLLLNN31810.55%
LLLLLLLN31380.54%

Lстрочные буквы

Uпрописные буквы

Nцифры

Наиболее часто встречающиеся слова

ПарольКоличество%
Мужское имя ребенка120422.09%
Кличка собаки92241.60%
Женское имя ребенка803s1.39%
Название одного из наибольших городов США 22440.39%
Название одного из 700 наибольших городов мира21130.37%
Название штата в США8150.14%

Заключение

Слабые пароли или пароли по умолчанию, применяются в одной трети всех паролей, обследованных Trustwave. Поэтому, избавьтесь от слабых паролей: Реализуйте политики устойчивой аутентификации. Расскажите пользователям о значении выбора более длинных паролей вместо простых, легких к взлому паролей. Используйте двухфакторную аутентификацию для сотрудников, получающих доступ к сети. Безопасное хранение пароля, объединенное с образованными пользователями и должным образом разработанной политикой паролей поможет вам повысить уровень вашей безопасности.

Pin It

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.