Слабите и откраднатите пароли са най-прекият път към вашата мрежа

Picture of e-security.bg
e-security.bg
Aрхив | Поверителност

 

Несигурните практики за използване на пароли се използват в 81% от кибератаките в световен мащаб, а 61% от всички атаки са насочени към фирми с по-малко от 1000 служители. Въпреки че образованието и обучението на служителите могат да помогнат, това, което е най-необходимо, за да се обърне тази тенденция, е удостоверяването на самоличността да изисква допълнително доказателство за самоличност, освен простото потребителско име и парола, и да бъде широко разпространено от всички компании – независимо от техния размер. Само тогава киберпрестъпниците вече няма да могат да използват откраднати идентификационни данни за достъп и заразяване на системи или кражба на данни.

81% of breaches leveraged stolen or weak passwords 58% of data breach victims in 2017 are categorized as small business$149K is the average cost of a data breach to SMBs

Подкопават ли служителите сигурността на компанията с общи пароли?

Повечето служители не се опитват умишлено да компрометират сигурността на компанията; въпреки това трябва да се запитате какви практики за пароли използват сега, за да се справят с разпространението на онлайн акаунти, които ги изискват. Според често цитирано проучване на Microsoft Research „Средният потребител има 6,5 пароли, всяка от които е споделена в 3,9 различни сайта. Всеки потребител има около 25 акаунта, които изискват пароли, и въвежда средно по 8 пароли на ден.“

Проучване на Dashlane от 2015 г. разкрива, че всеки човек има над 90 онлайн акаунта и през предходната година му се е наложило да възстанови паролата си, използвайки връзка „забравена парола“ за 37 от тези акаунти. Компаниите, които изискват често нулиране на пароли, още повече затрудняват потребителите да създават силни пароли и по-късно да си ги припомнят. В тази среда е разбираемо, че потребителите опростяват паролите си – създават такива, които могат да се сериализират – и ги ограничават до няколко, които се използват в множество акаунти.

1 Доклад на Verizon за 2017 г. за разследванията на нарушения на сигурността на данните

List of the most worst passwords used

http://fortune.com/2017/12/19/the-25-most-used-hackable-passwords-2017-star-wars-freedom/

За предприятията, тъй като служителите използват по-прости и по-слаби пароли, това излага мрежовите ресурси на по-голям риск от нарушаване. Още по-лошо е, че когато идентификационните данни на служителя са откраднати от други сайтове и те съдържат същата парола, която му дава достъп до привилегированите ви мрежи, тогава хакерите могат да влязат през входната врата, маскирани като потребителя… и вие да не разберете нищо.

Достигнахме предела на защитата, която може да осигури единствено достъпът до системите с парола. Необходими са допълнителни мерки за гарантиране на самоличността на потребителя… и именно това осигурява многофакторното удостоверяване (MFA).

Как хакерите крадат идентификационни данни?

Предвид факта, че потребителските имена и пароли често са единствената пречка за достъп до системи, които носят финансови печалби, хакерите се интересуват от това да ги премахват, когато могат. Някои често срещани начини за компрометиране на тази информация включват:

Phishing/Spear-Phishing: Престъпниците използват електронна поща, за да накарат потребителите да въведат идентификационни данни в уеб страници или формуляри. Те изглеждат убедително като имейли от лице или фирма, с които потребителят има връзка, а понякога са много целенасочени към конкретно лице (spear-fishing), за което се смята, че има голям привилегирован достъп до системата.

Груба сила: С връщането на по-опростените пароли в употреба престъпниците ще изпробват обикновени пароли, докато намерят работеща. Те дори са написали автоматизирани скриптове, които заобикалят прости защити, като например ограничение на броя на опитите за удостоверяване в рамките на определен период от време. Не забравяйте, че за предприятията без MFA е достатъчно да работят с всяка една комбинация от потребителско име и парола.

Зъл близнак на Wi-Fi: Използвайки лесно за откриване устройство за 99 USD, престъпниците могат да седнат в претъпкана зона и да се преструват на легитимна гореща точка на Wi-Fi. Когато хората се свържат, тогава престъпникът е ефективно MitM (man-in-the-middle), наблюдавайки мрежовия трафик и дори натискането на клавишите на потребителя, докато е свързан. Проучванията показват, че хората редовно проверяват банковите си сметки, пазаруват онлайн и, да, дори имат достъп до фирмени мрежи, докато са в обществена Wi-Fi мрежа.
След като получат валидни идентификационни данни, те ги използват за достъп до системите и кражба на данни, консумират ресурси с ботнети, инсталират софтуер за откуп и дори крадат още идентификационни данни, които могат да отключат други мрежи и лични данни.

 

 

#защита на лични данни
По материали от Интернет

Подобни

Великобритания връща спорната схема за Digital ID
14.05.2026
aimeev83-bokeh-313993_640
General Motors плаща рекордна глоба за незаконно събиране и продажба на данни
12.05.2026
ai-generated-8136171_1280
Venmo променя настройките си за поверителност
11.05.2026
elisariva-social-1834015_640
Google променя формулировка за AI в Chrome
11.05.2026
chrome
Безпрецедентен пробив във футбола
29.04.2026
cristiano-ronaldo-8002334_640
Microsoft ускорява края на паролите
27.04.2026
passkey

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy