Российский сервис разведки утечек данных и мониторинга даркнета DLBI провел исследование количества уникальных паролей, используемых российскими пользователями интернета.
Базой для исследования стали пары «логин-пароль», попадавшие в утечки данных и опубликованные на площадках даркнета и в закрытых телеграм-каналах.
По данным исследования, большинство российских пользователей (47%) используют от 4 до 7 паролей, 30% – от 1 до 3 паролей и лишь 23% – 8 и более паролей.
При этом в популярных почтовых сервисах или социальных сетях для перебора 10 паролей злоумышленникам понадобится около трех минут, большую часть из которых займут вынужденные паузы после трех неудачных попыток. Пароль же пользователя, в котором до трех уникальных комбинаций, будет подобран менее, чем за секунду.
По мнению исследователей, со временем ситуация только ухудшается. Например, всего несколько лет назад от 1 до 3 паролей использовали 22% российских сёрферов, а от 4 до 7 паролей – 37%. И это несмотря на то, что возможности создания уникального пароля для каждого ресурса предоставляют сегодня не только специализированные менеджеры паролей, но и практически любой браузер.
«Пользователи, имеющие менее 7 уникальных паролей, гарантированно применяют один из них и в корпоративной сети, что представляет опасность не только для них, но и для работодателя, – отмечает основатель сервиса DLBI Ашот Оганесян. — Если компания предоставляет доступ к своим ресурсам извне, например, для удаленной работы, небольшое количество паролей такого пользователя может быть легко проверено перебором. Некоторую сложность составляет подбор корпоративного e-mail на основе имеющегося в утечке, однако хакеры давно научились решать эту проблему в автоматическом режиме, используя результаты скрапинга социальных сетей».
«В такой ситуации и самим пользователям, и компаниям можно посоветовать одно: где возможно, генерировать уникальные пароли, максимально широко использовать двухфакторную аутентификацию, а кроме того, не пренебрегать сервисами проверки попадания учетных данных в утечки. Причем компании могут подключать свои хранилища учетных записей к таким сервисам напрямую и максимально быстро блокировать скомпрометированные логины и пароли», – рассказал Ашот Оганесян.
О компании
DLBI (Data Leakage & Breach Intelligence) – российский сервис разведки уязвимостей и утечек данных, а также мониторинга мошеннических ресурсов в Darknet. DLBI предлагает своим клиентам анализ внешней серверной инфраструктуры с выявлением недостатков реализации хранения, а также мониторинг предложений о продаже чувствительных данных на различных закрытых площадках, группах Telegram и мошеннических ресурсах в Darknet.