.
Исследование провела компания «Ростелеком-Солар», являющаяся дочерней структурой ПАО «Ростелеком». Результаты оказались неутешительны: около 80% компаний не соблюдают базовых
правил парольной защиты. Практически в каждой тестируемой сети специалистам удалось получить привилегии администратора. Реальному киберпреступнику это позволило бы скрытно развивать атаку, с большой вероятностью способную привести к краже финансовых средств или конфиденциальной информации.
Самой распространенной ошибкой оказались пароли, установленные по умолчанию, слабые и легко подбираемые пароли пользовательских учетных записей (например, «admin/admin»,
«admin/12345» и т.п.), отсутствие блокировок учетных записей. Эксперты также указывают на использование сотрудниками одинаковых паролей и хранение учетных данных на общедоступных ресурсах в или на самих ПК. В части организаций к сотрудникам не предъявляются требования по частоте смены паролей, по их длине и наличию спецсимволов (строчных и прописных букв, цифр, знаков).
- Основная причина, которая ведет к подобным недостаткам – это человеческий фактор, – отмечает Александр Колесов, руководитель отдела анализа защищенности компании «РостелекомСолар». - Сотрудники компаний часто обладают недостаточной киберграмотностью, а
системные администраторы порой недостаточно следят за тем, как хранятся учетные данные, или допускают создание пользователями слабых паролей.
Решить проблему, по мнению экспертов компании, можно введением двухфакторной
аутентификации пользователей, однако из-за сложности организации и высокой стоимости услуги многие компании этого не делают. Более доступным вариантом является обучение сотрудников основам кибергигиены: объяснение правил создания надежных паролей и их безопасного хранения, в том числе с использованием специальных баз и программ.