Недостатки однофакторного способа аутентификации ("логин - пароль") неоднократно описывались в научно-популярной и специализированной литературе, однако данный способ до сих пор является самым простым, дешевым и наиболее распространенным методом осуществления аутентификации пользователя в большинстве информационных систем. Эксперты компании Positive Technologies в ходе тестирований на проникновение, аудитов безопасности и других работ проанализировали 185 тысяч паролей, используемых пользователями для доступа к различным корпоративным системам, и по результатам выпустили отчет "Анализ проблем парольной защиты в российских компаниях". Как показало исследование, статистика используемых российскими пользователями паролей значительно отличается от зарубежной. Российский список наиболее распространенных паролей на 50% состоит из расположенных рядом символов (1234567, qwerty и т.д.), тогда как западные пользователи больше склонны употреблять слова английского языка (password, love и т.д.). Парадоксальные выводы были сделаны при анализе паролей администраторов информационных систем. Несмотря на использование паролей с большей длиной, администраторы в 15% случаев выбирают "словарные" пароли либо пароли, совпадающие с именем пользователя (10%), а в 2% случаев пароль отсутствует вовсе. В отчете рассматривается проблема использования "слабых" паролей в контексте соответствия требованиям стандарта по защите информации в индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard). По результатам исследования 74% паролей, используемых в корпоративном секторе, не соответствуют требованиям стандарта PCI DSS. В исследовании приведен анализ эффективности различных ограничений на используемые пароли, таких как контроль минимальной длины и сложности пароля. Так, применение стандартных ограничений к сложности пароля снижает вероятность компрометации системы более чем в 10 раз. По мнению экспертов компании Aladdin, несоблюдение элементарных требований к парольным комбинациям подвергает риску всю систему корпоративной информационной безопасности. Компании, адекватно оценивающие возможный ущерб вследствие взлома парольных комбинаций, успешно решают проблему аутентификации с помощью аппаратных токенов - электронных ключей в виде USB-устройств, смарт-карт или различных комбинированных моделей.
Источник