Способы взлома аккаунтов

Злоумышленники используют различные методы для получения доступа к аккаунтам корпоративных пользователей.

*Изображение предоставлено компанией «Пассворк»*

Один из самых распространенных — классический брутфорс, или метод полного перебора. Специальная программа быстро подбирает множество вариантов паролей, нацеливаясь на слабые места — пароли по умолчанию или временные пароли, о смене которых пользователи чаще всего забывают из-за автоматического ввода.

Более продвинутый метод — брутфорс по словарям. В этом случае используется список ранее «слитых» паролей, поскольку предполагается, что многие пользователи могут создавать одинаковые комбинации из-за ассоциативного мышления и глобализации культуры.

Вредные привычки пользователей

Что же такое «слабые пароли» и как они возникают?

Второй вопрос имеет простое объяснение: они появляются из-за лени, спешки или недостаточного понимания рисков. Ответ на первый вопрос можно представить в виде интересного списка, который показывает предсказуемость многих интернет-пользователей.

Вот самые распространенные привычки:

Использование минимально допустимой длины пароля (обычно это 8 символов)
Применение заглавной буквы всего один раз и только в начале пароля
Выбор для пароля популярных у большинства спецсимволов (@, #, $, &)
Цифры, как правило, размещают в конце пароля, и чаще всего это дата рождения

Еще одна неявная привычка пользователей — минимальные изменения в старом пароле при его смене. Достаточно заменить заглавную букву на строчную или поменять местами две цифры, и система примет «новый пароль». Это сводит на нет эффективность корпоративной политики кибербезопасности. И как же уследить за каждым сотрудником и отконтролировать всевозможные моменты?

Корпоративный менеджер паролей как оптимальное решение

Решением всех перечисленных проблем может стать централизованная платформа для всех сотрудников — корпоративный менеджер паролей. Каждому отдельному пользователю попросту не придется придумывать пароли, за него это сделает программный алгоритм, лишенный человеческих слабостей.

Пользователю достаточно запомнить всего один «сильный» мастер-пароль для авторизации. Все остальные пароли хранятся в памяти системы и могут вводиться автоматически. Хороший парольный менеджер зачастую легко интегрируется с популярными браузерами при помощи расширения и имеет свое мобильное приложение.

А для усиления степени безопасности можно подключить двухфакторную аутентификацию (2ФА), что исключает проникновение в систему даже с украденным мастер-паролем.

При этом всей системой управляет назначенный компанией администратор: он распределяет доступ пользователей к различным сейфам и папкам. Таким образом, каждый сотрудник видит только те пароли, которые ему разрешены.

Автоматический аудит безопасности, мониторинг действий пользователей и своевременные напоминания о необходимости смены паролей, а также встроенный генератор сложных паролей обеспечивают надежность и удобство.

Ситуации, создающие риски

Помимо действий конкретных пользователей, риски для информационной системы компании несут и вполне естественные рабочие процессы.

Например, онбординг и оффбординг. Когда новый сотрудник начинает работу, важно быстро предоставить ему все необходимые доступы. Это позволит ему сразу приступить к выполнению своих обязанностей, а не тратить время на выяснение у коллег, как получить доступ к различным аккаунтам.

Плюс на некоторых позициях во многих компаниях текучка кадров — привычное явление. И каждый раз при уходе сотрудника, имевшего доступ к корпоративным аккаунтам, важно своевременно предпринять все необходимые меры. Даже однодневная задержка в смене паролей может оказаться критичной для бизнеса.

Еще одна распространенная ситуация: когда ключевой сотрудник заболел или ушел в отпуск и не отвечает на сообщения и звонки, а пароль к онлайн-сервису для выполнения важной и срочной задачи есть только у него.

Корпоративный менеджер паролей поможет администратору быстро предоставить нужные доступы новому сотруднику или тому, кто временно заменяет своего отсутствующего коллегу, а также вовремя обновить необходимые пароли после увольнения человека из компании.

Подручные, но небезопасные средства сисадминов

Не стоит забывать и об устаревших методах администрирования, которые в разы повышают риски утечки всех паролей сразу.

Например, системные администраторы могут иметь привычку хранить корпоративные пароли в Excel-файле или Google-документе. Если в компании только один администратор, это с натяжкой можно назвать приемлемым. Однако как только появляется второй специалист с аналогичными функциями, риски возрастают: «секретная экселька» теряет свою конфиденциальность, а хранение паролей в облаке без какого-либо шифрования — в принципе плохая затея.

Использование в компании парольного менеджера сразу обеспечивает гораздо лучшую защиту, чем любой локальный файл и тем более облачный документ, ведь все данные хранятся на вашем сервере, к тому же в зашифрованном виде.

При этом от обычных сотрудников не требуется каких-то сложных действий, чтобы ежедневно работать с корпоративными доступами. В свою очередь администраторы, управляющие системой, наконец-то обретают дзен в работе на удобной платформе.

Готовое решение для кибербезопасности вашей компании

В качестве хорошего примера можно привести менеджер паролей «Пассворк» — это отечественное решение от аккредитованной ИТ-компании, которое внесено в единый реестр российского ПО. Высокая степень надежности обеспечивается благодаря тому, что все данные хранятся на сервере клиента и шифруются алгоритмом ГОСТ или AES-256 по вашему выбору.

«Пассворк» работает на PHP и MongoDB, а также поддерживает установку на Windows Server и Linux с Docker или без него.

*Интерфейс менеджера паролей «Пассворк»*

Продуманный функционал, простота и удобство в использовании позволяют легко внедрить менеджер паролей в повседневные рабочие процессы. Администратору доступны детальные настройки прав пользователей, а пользователи могут наслаждаться интуитивно понятным интерфейсом и экономить рабочее время.

Еще одним преимуществом является поддержка двухфакторной аутентификации (2ФА) для подтверждения входа, что обеспечивает дополнительный уровень безопасности корпоративных данных. А наличие мобильного приложения и браузерного расширения добавляют комфорта.

Более того, система сама следит за ситуацией и предлагает меры по улучшению безопасности — например, обнаруживает слабые, устаревшие или скомпрометированные пароли и рекомендует их сменить.

Вы можете протестировать корпоративный менеджер паролей «Пассворк» 30 дней без оплаты, сделав запрос от своей компании на сайте — passwork.ru

^{Реклама. ООО «ПАССВОРК» ИНН 2901311774 ОГРН 1222900006262. Erid: 2VfnxxTXPzG}