| RSS



Меню

Bookmark and Share


Статистика
Ваш IP: 127.0.0.1
Вы используете: v





Сейчас на сайте:

Тех поддержка ->

Облако тэгов
ОС видио Tor Обратная сторона антенна 4.6 php libc rand() эксплоит Windows Server 2008 FreeBSD Jail Elastix QIP Virtual chroot Limit kernel proc sysctl Tune freeBSD bridge Boot LiveCD Disk Bluetooth GEO game DirectX emulator Python Shell червь Conficker вирус троян лаборатория касперского пиратство Apple iPhone Microsoft twitter социальная сеть анонимность лицензия Open Source уязвимость MySQL база данных Закон Франция Пират Skype мобильный Deutsche Telekom хакер trend micro кибератака Германия робот Персональные данные Ноутбук Интернет китай цензура windows vista acer Linux патент браузер Firefox Internet Explorer Opera Safari Intel Oracle патч Банкомат IBM США Dell Ford MAC контроль Internet кибербезопасность приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 взлом Пентагон Украина Facebook Cisco Cloud Windows XP нетбук торрент музыка Биометрический Nokia Hardware Manager ФБР IP-адрес sms RSA java Google Captcha Symantec Спам Антивирус тест Anti-Malware Windows 7 операционная система windows провайдер авторское право rapidshare UNIX свиной грипп шантаж Дети ipod копирайт McAfee HTTPS icann студент Норвегия New York Times YouTube Warner Music КНДР Ubuntu AMD ATI касперский Россия РФ сервер хостинг Wi-Fi суд пароль блог фишинг одноклассники Медведев контрафакт мошенник sony Gps по JavaScript Хакеры Yahoo фас компьютер софт Минкомсвязи Сбой мошенничество Доктор ВЕб Вконтакте ie8 исходный код МВД фильтр порнография свобода слова казахстан Autodesk сисадмин Gmail кредитная карта LiveJournal шифрование Deep Purple банк HTML5 Нанотехнологии wikipedia выборы DNS bind KaZaA Android Basic атака Mac OS X домен ФСБ прокуратура уголовное дело ICQ Sophos Google Voice ошибка DARPA военные сайт турция конференция спамер Полиция Koobface Великобритания IRC белоруссия Грузия Bittorrent Европа Dr.WEB Linux Mint Билл Гейтс спецслужбы Royal Bank of Scotland смартфон Canonical F-Secure Symbian фильм Microsoft Office Новая Зеландия Adobe Австралия IDC Internet Explorer 9 iPad Ирландия поиск GOOGLE EARTH МТС Реклама слежка Mandriva BSD Zeus личные данные eset avast Avira G Data Software защита Defcon виртуализация dll LibreOffice Черный список BlackBerry индия Москва DVD социальные сети flash player paypal BitDefender email сертификат honda MasterCard Anonymous технологии IPv6 Ассанж Оптоволокно передача данных арест Fedora Samsung Иск Apache учетная запись iTunes исследование Cert Санкт-Петербург McDonald's SOPA PIPA Bioshock Infinite: Burial at Sea - ico Megaupload CES hotfile отчет приложение Инвестиции платформа DRM DDoS-атака роскомнадзор

Главная » Статьи » Общие Статьи

Анализ проблем парольной защиты в российских компаниях

Дмитрий Евтеев
Эксперт по информационной безопасности отдела консалтинга и аудита компании Positive Technologies.
Полный текст исследования: http://www.ptsecurity.ru/analytics.asp

Оглавление

1.   Введение
2.   Методика
3.   Статистика паролей, используемых пользователями
3.1.   Суммарная статистика
3.2.   Оценка используемых паролей в соответствие с требованиями PCI DSS
4.   Выводы
5.   Об авторе
6.   О компании
7.   Ссылки

1. Введение

Как показывает многолетний опыт компании Positive Technologies по проведению тестирований на проникновение и аудитов информационной безопасности, зачастую, слабая парольная политика или повсеместное ее несоблюдение приводит к возможности компрометации различных участков информационной системы, и как следствие, позволяет реализовать несанкционированный доступ к информации различного уровня критичности.

Вероятность реализации различного рода угроз ИБ в информационных системах, базирующихся на однофакторной модели аутентификации с использованием парольной фразы, во многом усугубляет присутствие человеческого фактора. Проводимые за рубежом исследования [1] показывают, что в большинстве случаев пользователи используют простые и легко угадываемые пароли для доступа к информационным ресурсам. Данное исследование рассматривает аналогичные проблемы, характерные для Российского пользователя.

2. Методика

Публикация содержит статистику по используемым паролям сотрудниками российских компаний, полученную в ходе работ по тестированиям на проникновение, аудитов безопасности и других работ, выполненных экспертами компании Positive Technologies в 2007-2009 году. Всего в статистику вошли данные более чем о 185 тысячах паролей пользователей.

В зависимости от типа выполняемых работ были задействованы различные методики  компрометации учетных записей. От автоматизированного удаленного перебора пароля по словарям методом «черного ящика» (black-box, blind) с использованием сканеров безопасности XSpider и MaxPatrol, до проведения локального аудита используемых паролей на основе полученных значений хешей Microsoft Active Directory, сетевого оборудования Cisco и других хранилищ паролей с использованием rainbow tables [2,3].
С полными результатами проведенного исследования можно ознакомиться в разделе «Аналитика» [4] на официальном сайте Positive Technologies.

3. Статистика паролей, используемых пользователями

TOP 10 наиболее часто используемых паролей Российскими пользователями приведен в Табл. 1.

TOP 10 наиболее часто используемых паролей Российскими пользователями

Пароль

Позиция

Доля, % 

1234567

1

3,36%

12345678

2

1,65%

123456

3

1,02%

Пустая строка

4

0,72%

12345

5

0,47%

7654321

6

0,31%

qweasd

7

0,27%

123

8

0,25%

qwerty

9

0,25%

123456789

10

0,23%

Проводя параллель между данными исследований, проводимых за рубежом, [1] и полученными результатами проведенного исследования в отношении используемых паролей российскими пользователями можно отметить, что результаты обоих исследований во многом расходятся. Так, полюбившийся пароль «password» (вторая позиция наиболее распространенных паролей) зарубежному пользователю, содержится на 135-й позиции по результатам исследования паролей российских пользователей. А популярное слово в качестве пароля «pussy», которое по данным Марка Бернетта занимает пятую строчку наиболее распространенных паролей, не используется российскими пользователями вообще. С другой стороны, пользователи российских компаний предпочитают использовать в качестве паролей наборы, расположенных рядом символов на клавиатуре, такие как 1234567, 12345678, qweasd, qwerty и т.д. Также было замечено, что в случае, когда информационная система никак не ограничивала пользователя в творческом процессе создания пароля (ограничение на длину и сложность задаваемого пароля), то пользователи с успехом использовали пустые строки в качестве своего пароля. Таким образом, пустая строка занимает четвертое место в рейтинге данного исследования.

3.1 Суммарная статистика

Суммарная статистика по используемым наборам символов в паролях приведена в Табл. 2 и на Рис. 1.

Набор символов

 Доля, % 

Только цифры (numeric)

52,73%

Символы английского алфавита в нижнем регистре (loweralpha)

17,96%

Символы английского алфавита в нижнем регистре и цифры (loweralpha-numeric)

17,51%

Символы английского алфавита в разных регистрах и цифры (mixalpha-numeric)

3,4%

Символы английского алфавита в разных регистрах (mixalpha)

1,63%

Символы английского алфавита в верхнем регистре и цифры (alpha-numeric)

1,35%

Символы русского алфавита в нижнем регистре (loweralpha-rus)

1,12%

Суммарная статистика по используемым наборам символов в паролях

Рисунок 1. Суммарная статистика по используемым наборам символов в паролях

Наиболее распространенными паролями у российских пользователей являются цифровые пароли, на долю которых приходится около 53% от числа всех проанализированных паролей. Вторым по популярности набором используемых символов в своих паролях является набор из символов английского алфавита в нижнем регистре, на долю которого приходится до 18% от числа всех проанализированных паролей. С небольшим отрывом по популярности следуют аналогичные предыдущему набору символов пароли, состоящие из символов английского алфавита в нижнем регистре, но с усложнением пароля за счет использования в нем цифр. Пароли, состоящие из символов английского алфавита в нижнем регистре и цифр, встретились в 17% от числа всех проанализированных паролей.

Таким образом, около 88% паролей, используемых сотрудниками российских компаний – это пароли, содержащие в себе либо цифры, либо символы английского алфавита в нижнем регистре, либо и то и другое.

Если же рассматривать суммарную статистику по длине используемых паролей, то будут получены данные, приведенные в Табл. 3 и на Рис. 2.

Таблица 3. Суммарная статистика по длине используемых паролей

Количество символов

 Доля, % 

Количество символов

Доля, % 

0

0,71%

11

2,83%

1

0,26%

12

1,33%

2

0,39%

13

0,4%

3

1,37%

14

0,34%

4

2,03%

15

0,1%

5

4,86%

16

0,09%

6

27,22%

17

0,02%

7

21,75%

18

0,01%

8

25,22%

19

0,01%

9

6,5%

20

0,008%

10

4,42%

>20

0,02%

Суммарная статистика по длине используемых паролей
Рисунок 2. Суммарная статистика по длине используемых паролей

То есть, используемые пароли российскими пользователями в большинстве случаев не превышают 8-ми символов, и лишь единицы используют пароли длиннее 12-ти символов. Стоит отметить, что  используемые пароли длинной до 8-ми символов с высокой долей вероятности могут быть скомпрометированы в реальных условиях.

Если же рассматривать наиболее «слабые пароли», то будут получены данные, представленные в Табл. 4 и на Рис. 3.

Таблица 4. Суммарная статистика по паролям низкой стойкости

Причина низкой стойкости

 Доля, % 

Полное совпадение пароля с именем пользователя

3,94%

Частичное совпадение пароля с именем пользователя

0,7%

Пароль содержится в публично распространяемых словарях

14,69%

Пароль является пустой строкой

0,7%

Суммарная статистика по паролям низкой стойкости
Рисунок 3. Суммарная статистика по паролям низкой стойкости

Таким образом, до 4% от числа всех проанализированных паролей полностью совпадают с используемым логином, а около 15% содержатся в публично распространяемых словарях [5,6]. Подобная ситуация в значительной степени упрощает процесс реализации несанкционированного доступа злоумышленнику, действующему удаленно.

Если же рассматривать вероятность компрометации пароля пользователя с использованием словарей, то будут получены данные, представленные на Рис. 4. А для случая, когда используется стандартная политика требований сложности задаваемых паролей в ОС Microsoft (Windows 2000 и выше), вероятность компрометации пароля пользователя с использованием словарей будет выглядеть, как показано на Рис. 5.

Под стандартной политикой сложности задаваемых паролей подразумевается включенный параметр «Пароль должен отвечать требованиям сложности» [7], настраиваемый в групповых политиках ОС. Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям:

  • Не должен содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков;
  • Иметь длину не менее 6 знаков;
  • Содержать знаки трех из четырех перечисленных ниже категорий:
    • Латинские заглавные буквы (от A до Z);
    • Латинские строчные буквы (от a до z);
    • Цифры (от 0 до 9);
    • Отличающиеся от букв и цифр знаки (например, !, $, #, %).

Вероятность компрометации паролей определенной длины по словарям
Рисунок 4. Вероятность компрометации паролей определенной длины по словарям

Вероятность компрометации паролей определенной длины по словарям с учетом требований сложности к паролям
Рисунок 5. Вероятность компрометации паролей определенной длины по словарям с учетом требований сложности к паролям

То есть, использование стандартной политики требований сложности задаваемых паролей в ОС Microsoft, в значительной степени затрудняет компрометацию учетных записей удаленным злоумышленником с использованием словарей.

3.2 Оценка используемых паролей в соответствие с требованиями PCI DSS

Рассматривая проблему использования «слабых» паролей в контексте соответствия требованиям стандарта по защите информации в индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard) [8], можно выделить требования, приведенные в Табл. 5, регламентирующие использование стойких паролей в информационной системе.

Таблица 5. Требования PCI DSS, регламентирующие правила использования паролей

Требование PCI DSS v.1.2

 Процедура 

2.1 До подключения системы к сети должны быть изменены параметры, заданные производителем по умолчанию (например, пароли, SNMP-строки), а также удалены не используемые учетные записи

Определить выборку системных компонентов, критичных серверов и беспроводных точек доступа и попытаться выполнить процедуру входа на этих устройствах (при поддержке системного администратора) с использованием учетных записей и паролей, заданных производителем, для того чтобы удостовериться, что учетные записи и пароли, заданные производителем по умолчанию, изменены (для поиска учетных записей и паролей, заданных производителем по умолчанию, можно использовать документацию производителя и сеть Интернет)

8.5.10 Длина паролей должна составлять не менее 7 символов

Для выборки системных компонентов просмотреть конфигурационные настройки систем и убедиться, что настройки парольной политики пользователей установлены таким образом, что длина паролей должна составлять не менее 7 символов. Только для сервис-провайдеров: ознакомиться с внутренними процессами и документацией для пользователей/клиентов и убедиться, что пароли клиентов должны удовлетворять требованиям к минимальной длине пароля.

8.5.11 Пароли должны содержать как цифры, так и буквы

Для выборки системных компонентов просмотреть конфигурационные настройки систем и убедиться, что настройки парольной политики пользователей установлены таким образом, что пароли должны содержать как цифры, так и буквы. Только для сервис-провайдеров: ознакомиться с внутренними процессами и документацией для пользователей/клиентов и убедиться, что пароли клиентов должны содержать как цифры, так и буквы.

Оценивая полученную статистику используемых паролей сотрудниками российских компаний по приведенным критериям в Табл. 5, будут получены данные, представленные в Табл. 6 и на Рис. 6.

Таблица 6. Оценка используемых паролей в соответствие с требованиями PCI DSS

Требование PCI DSS v.1.2

 Суммарная доля не соответствия, % 

2.1 До подключения системы к сети должны быть изменены параметры, заданные производителем по умолчанию (например, пароли, SNMP-строки), а также удалены не используемые учетные записи (Требование оценивалось по списку паролей, доступных на странице: http://www.phenoelit-us.org/dpl/dpl.htm)

1%

8.5.10 Длина паролей должна составлять не менее 7 символов

37%

8.5.11 Пароли должны содержать как цифры, так и буквы

74%

Оценка соответствия требованиям PCI DSS в отношении всех анализируемых паролей
Рисунок 6. Оценка соответствия требованиям PCI DSS в отношении всех анализируемых паролей

То есть, 74% используемых паролей пользователями в корпоративном секторе не соответствуют требованиям стандарта PCI DSS.

4. Выводы

На основании полученных данных можно сделать следующие выводы:

  • В целом результаты аналогичных исследований, проводимых за рубежом, отличаются от полученных результатов проведенного исследования в отношении используемых паролей российскими пользователями;
  • Наиболее распространенными паролями у российских пользователей являются пароли, состоящие только из цифр, на долю которых приходится приблизительно 53% от числа всех проанализированных паролей;
  • 88% используемых паролей – это пароли, содержащие в себе либо цифры, либо символы английского алфавита в нижнем регистре, либо и то и другое;
  • Используемые пароли российскими пользователями в большинстве случаев не превышают 8-ми символов и лишь единицы используют пароли длиннее 12-ти символов;
  • 74% используемых паролей пользователями в корпоративном секторе не соответствуют требованиям стандарта PCI DSS.

5. Об авторе

Дмитрий Евтеев, эксперт по информационной безопасности отдела консалтинга и аудита компании Positive Technologies. Специализируется в вопросах проведения тестирований на проникновение, аудита информационных систем и анализа защищенности Web-приложений. Имеет профессиональные звания и сертификаты (MCSE:Security, MCTS).

6. О компании

«Позитив Текнолоджиз» (Positive Technologies) - лидирующая компания на рынке информационной безопасности.
Основные направления деятельности компании:

  1. разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol);
  2. оказание консалтинговых услуг в области ИБ;
  3. предоставление сервисных услуг в области ИБ;
  4. развитие ведущего российского портала по ИБ Securitylab.ru.

Компания «Позитив Текнолоджиз» (Positive Technologies) – это команда квалифицированных разработчиков и консультантов. Эксперты компании имеют большой практический опыт, являются членами международных организаций, активно участвуют в развитии отрасли.

7. Ссылки

[1] Марк Бернетт (Mark Burnett), http://xato.com/http://www.whatsmypass.com/?p=415
[2] HAK5 Rainbow Tables Project, http://wiki.hak5.org/wiki/Community_Rainbow_Tables
[3] Free Rainbow Tables Project, http://www.freerainbowtables.com/
[4] Дмитрий Евтеев, «Анализ проблем парольной защиты в российских компаниях» http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf
[5] Словарь от InsidePro, http://www.insidepro.com/download/dictionary_insidepro_big.zip
[6] Словари от Underground InformatioN Center (UINC), http://www.uinc.ru/forum/faqs/wordlist.shtml
Использовались следующие словари:
Список дат от 01/01/1950 до 31/12/1999
Список русских имен
Список наиболее употребляемых глаголов русского языка
Список наиболее употребляемых существительных русского языка
Список наиболее употребляемых наречий русского языка
Список наиболее употребляемых прилагательных русского языка
Список часто употребляемых слов в разговорном в "живом" русском языке
Список слов, характеризующих настроение и эмоции
[7] Microsoft TechNet, http://technet.microsoft.com/en-us/library/cc786468.aspx
[8] Payment Card Industry Data Security Standard, https://www.pcisecuritystandards.org/, http://www.pcisecurity.ru/files/

Категория: Общие Статьи | Добавил: aka_kludge (07.07.2009) | Автор: Дмитрий Евтеев
Просмотров: 2463 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
    Главная      
...
На службе : дней

17:32
Обновить


Пользователи
aka_kludge
qwerty
LeadyTOR
aka_Atlantis
AdHErENt
mAss
Sissutr
hiss
DrBio
tHick

Поиск


Copyright tHR - TeAM 2025 г. admin: aka_kludge (ICQ:334449009) Moderator's: LeadyTOR, ... Яндекс.Метрика