Уроки для специалистов по безопасности из худших паролей 2015 года

Каждый год в течение последних нескольких лет компания SplashData, занимающаяся программным обеспечением для управления паролями, публикует список наиболее распространенных паролей, найденных в дампах данных, утекших в сеть, паролей, украденных за последний год. Список на 2015 год многое раскрывает о том, как люди выбирают пароли, и дает тревожный сигнал для людей, работающих в отделах информационной безопасности, в том числе для тех, кто готовится к сертификационным экзаменам, относительно того, сколько обучения и образования необходимо, когда дело доходит до паролей, как Мир остро нуждается в более продуманной и реализованной политике паролей, и как сильно многие организации нуждаются в технологиях для обеспечения соблюдения такой политики.

Вот список из 25 наиболее распространенных паролей 2015 года, которые можно найти в различных списках паролей, которые просочились в сеть после взлома:

1. 123456 (без изменений с 2014 г.)
2. пароль (без изменений с 2014 г.)
3. 12345678 (поднялся на 1 позицию с 2014 г.)
4. qwerty (поднялся на 1 позицию с 2014 г.)
5. 12345 (на 2 позиции ниже с 2014 г.)
6. 123456789 (без изменений с 2014 г.)
7. футбол (поднялся на 3 позиции с 2014 г.)
8. 1234 (на 1 позицию ниже с 2014 г.)
9. 1234567 (поднялся на 2 позиции с 2014 г.)
10. бейсбол (на 2 позиции ниже с 2014 г.)
11. добро пожаловать (новое)
12. 1234567890 (Новый)
13. abc123 (поднялся на 1 позицию с 2014 г.)
14. 111111 (поднялся на 1 позицию с 2014 г.)
15. 1qaz2wsx (новый)
16. дракон (на 7 позиций ниже с 2014 г.)
17. мастер (поднялся на 2 позиции с 2014 г.)
18. обезьяна (на 6 позиций ниже с 2014 г.)
19. letmein (на 6 позиций ниже с 2014 г.)
20. логин (новый)
21. принцесса (новая)
22. qwertyuiop (Новый)
23. соло (Новое)
24. пароль (новый)
25. звездные войны (новинка)

Я подробно проанализировал список в статье, опубликованной в Inc. на прошлой неделе. Но помимо конкретного анализа, который я предоставил широкой аудитории в этой статье, есть несколько важных моментов, на которые людям, готовящимся к сертификационным экзаменам, следует обратить особое внимание:

1. Политика может оказаться бесполезной, если вы не используете технологии для обеспечения ее соблюдения. На данный момент политики практически повсеместно запрещают использование таких паролей, как «123456» и «пароль», но эти два слабых пароля, по-видимому, по-прежнему являются наиболее распространенными из используемых паролей.

2. Люди совершают одни и те же ошибки снова и снова. Не имеет значения, сколько раз вы говорите им не использовать пароль «пароль», не имеет значения, сколько раз использование пароля «пароль» было высмеяно в средствах массовой информации, и не имеет значения, сколько раз учетные записи с паролем «пароль» уже был взломан преступниками в прошлом. «Пароль» — это простой пароль, который легко запомнить, и людям все равно. Ваша работа как специалиста по безопасности — обеспечивать безопасность, даже если людям все равно, и, во многих случаях, помогать им заботиться.

3. Остерегайтесь тенденций поп-культуры. В 2015 году слова «соло» и «звездные войны» стали популярными паролями в связи с выходом нового фильма «Звездные войны». В 2016 году будут и другие актуальные темы – и в результате будет много попыток создать на их основе слабые пароли. Обязательно обучайте людей соответствующим образом – и внедряйте технологии для предотвращения проблем.

4. Не реагируйте на плохие пароли, создавая политики, которые вызывают другие проблемы с паролями. Требования к более длинным паролям могли привести к тому, что «1234567890» впервые в этом году вошел в список самых популярных паролей, но этот пароль вряд ли является надежным. Я написал несколько статей о настройке правильных политик паролей и выборе правильных паролей. Не требуйте, чтобы люди использовали слишком сложные пароли для систем, которые не требуют их использования, и не требуйте от людей создания паролей, которые мало кто сможет запомнить. Помните: если вы усложните безопасность для людей, они возненавидят вас, что также может привести к проблемам с безопасностью.

Понравилась статья? Не терпится покорить мир информационной безопасности? Получите профессиональная сертификация занять первое место в рейтинге – и у нас есть специальные цены для наших читателей!