Почему даже ваш самый сложный пароль скоро будет взломан

Более 80 % всех утечек данных связаны с паролями. Использование сложных и уникальных паролей для каждого аккаунта может повысить безопасность. Однако аккаунты клиентов даже с надежными паролями могут быть взломаны.

Когда мы говорим о входе в цифровые аккаунты, будь то в приложениях или на веб-сайтах, нам на ум приходит комбинация имени пользователя и пароля. Секретные пароли используются уже тысячи лет. Это простая концепция — общая информация, хранящаяся в секрете между отдельными лицами и используемая для подтверждения личности.

Во времена, когда люди проводят большую часть своей жизни онлайн, использование этой простой концепции стало повсеместным. Опросы показали, что количество защищенных паролем аккаунтов на одного пользователя в последние годы росло в геометрической прогрессии в ответ на взрывной рост новых приложений и онлайн-сервисов. Одно исследование, проведенное по заказу NordPass, показало, что с 2019 по 2020 год количество паролей на пользователя подскочило на 20 %: в среднем с 83 до 100.

Растущее количество защищенных паролем аккаунтов на первый взгляд не представляет проблемы. Однако то, как пользователи устанавливают и управляют паролями, действительно является проблемой. Пароль статичен, и поэтому пользователь должен его помнить или где-то хранить — будь то на стикере или в менеджере паролей. Поскольку обычный человек может запомнить комбинацию только из 7 букв или цифр, запоминание 100 уникальных паролей может стать настоящей мукой. Как следствие, пользователи склонны использовать простые пароли, такие как имена членов семьи, даты рождения или просто «123456» — все еще самый используемый пароль в интернете. Но почему пароли вообще являются проблемой безопасности?

Повторное использование паролей — причина утечек безопасности №1#

Чтобы управлять всеми своими аккаунтами, 52 % пользователей повторно используют пароли, что приводит к серьезным последствиям. Это позволяет хакерам получать доступ к нескольким аккаунтам, атакуя самое слабое звено (веб-сайт с самыми низкими стандартами безопасности). Например, ваш аккаунт в Facebook защищен сложным паролем и строгими стандартами безопасности. Однако существует большая вероятность того, что ваши учетные данные были затронуты в предыдущих утечках данных, например, в утечке MySpace в 2008 году, когда было украдено 359 420 698 учетных данных. И это лишь один пример. По данным Forbes, количество украденных учетных данных с 2018 года выросло на 300 %. Сегодня более 15 миллиардов учетных данных из 100 000 утечек могут быть куплены в интернете кем угодно. Используя эти данные, хакеры выполняют массовые запросы на вход на сотнях платформ, чтобы получить доступ к вашим аккаунтам (так называемые атаки credential stuffing).

Даже сложные пароли не являются безопасными#

Несмотря на этот широко известный риск, 70 % скомпрометированных учетных данных все еще используются. Как правило, атак credential stuffing можно избежать, используя разные сложные пароли для каждого аккаунта на каждой платформе в сочетании с менеджерами паролей. Однако даже сложные пароли можно легко взломать за считанные секунды. В прошлом году был установлен рекорд для компьютера, пытающегося сгенерировать все мыслимые пароли. Он достиг скорости более 100 000 000 000 попыток в секунду. Использование таких скриптов для перебора случайных комбинаций имени пользователя и пароля называется методами брутфорс (brute force).

Но даже если ваш пароль не был взломан методом перебора, он все равно не является полностью безопасным. Как клиент, вы вынуждены доверять стандартам безопасности тех платформ, на которых вы авторизуетесь. В случае слабой защиты любой пароль, каким бы сложным он ни был, может быть украден.

Хакеры изобретательны и постоянно совершенствуют свои методы#

К сожалению, credential stuffing и брутфорс — не единственные методы получения несанкционированного доступа к аккаунтам клиентов. Еще одной распространенной техникой является фишинг, когда поддельный пользовательский интерфейс оригинального сайта используется для обмана пользователей, чтобы заставить их ввести свои учетные данные. Другими методами являются атаки «человек посередине» (man-in-the-middle), когда перехватываются потоки данных, например, в публичных сетях WiFi, или кейлоггинг (keylogging), когда на компьютер устанавливается вредоносное ПО для захвата учетных данных.

Пока существуют пароли, аккаунты клиентов будут взламывать#

Описанные выше проблемы являются причиной того, что более 80 % всех утечек данных и хакерских атак связаны с паролями. Это подчеркивает тот факт, что нам нужен лучший подход для управления аутентификацией, чем просто имя пользователя и пароль. Такие разработки, как двухфакторная аутентификация (2FA), движутся в правильном направлении с точки зрения безопасности, но уровень их принятия пользователями довольно низок. Так почему бы не отказаться от паролей полностью и не перейти на беспарольный вход (passwordless)? Звучит интересно? Изучите беспарольные решения Corbado и получите первое представление о будущем аутентификации!

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →

Часто задаваемые вопросы#

Почему использования уникального и сложного пароля недостаточно для защиты моего аккаунта?#

Даже сложный пароль может быть скомпрометирован, если платформа, на которой он хранится, имеет слабые стандарты безопасности, так как любой пароль может быть украден с уязвимого сервера независимо от его надежности. Такие методы, как фишинг, кейлоггинг и атаки «человек посередине», перехватывают учетные данные еще до применения шифрования, что делает сам пароль самым слабым звеном, каким бы сложным он ни был.

Что такое credential stuffing и почему масштабы украденных учетных данных делают этот метод таким опасным?#

Credential stuffing предполагает использование пар «имя пользователя — пароль», украденных в результате одной утечки, для автоматического тестирования на сотнях других платформ. Имея более 15 миллиардов учетных данных из 100 000 утечек, доступных для покупки в интернете, злоумышленники получают огромные наборы данных. Одна только утечка данных MySpace в 2008 году раскрыла более 359 миллионов учетных данных, которые остаются уязвимыми везде, где жертвы повторно использовали эти пароли.

Почему многие пользователи по-прежнему используют слабые или повторяющиеся пароли, несмотря на известные риски?#

Обычный человек может надежно запомнить комбинацию лишь из примерно 7 букв или цифр, что делает практически невозможным запоминание 100 уникальных сложных паролей. Это когнитивное ограничение приводит к тому, что 52 % пользователей используют одни и те же пароли для разных аккаунтов. В свою очередь, это позволяет хакерам получать доступ к нескольким сервисам, атакуя наименее защищенную платформу из тех, где зарегистрирован пользователь.

Достаточно ли таких решений, как двухфакторная аутентификация, чтобы полностью заменить пароли?#

Двухфакторная аутентификация — это шаг в правильном направлении для повышения безопасности, но, как отмечается в статье, уровень ее принятия пользователями остается довольно низким, что ограничивает ее практический эффект. Более перспективным направлением является полный отказ от паролей с помощью беспарольной аутентификации, которая устраняет статический общий секрет, лежащий в основе фишинга, брутфорса и атак типа credential stuffing.