Как слабые пароли и привычки сотрудников ставят компанию под угрозу

В эпоху искусственного интеллекта и квантовых технологий многие компании продолжают рисковать своим благополучием из-за слабой парольной политики. Несмотря на все предупреждения и громкие новости об утечке паролей, злоумышленники продолжают получать доступ к корпоративным данным чаще всего именно таким образом. В этом обзоре мы рассмотрим распространенные ошибки и рискованные привычки пользователей в отношении паролей, а также предложим одно из решений этой проблемы.

Способы взлома аккаунтов

Злоумышленники используют различные методы для получения доступа к аккаунтам корпоративных пользователей.

Изображение предоставлено компанией «Пассворк»

Один из самых распространенных — классический брутфорс, или метод полного перебора. Специальная программа быстро подбирает множество вариантов паролей, нацеливаясь на слабые места — пароли по умолчанию или временные пароли, о смене которых пользователи чаще всего забывают из-за автоматического ввода.

Более продвинутый метод — брутфорс по словарям. В этом случае используется список ранее «слитых» паролей, поскольку предполагается, что многие пользователи могут создавать одинаковые комбинации из-за ассоциативного мышления и глобализации культуры.

Вредные привычки пользователей

Что же такое «слабые пароли» и как они возникают? 

Второй вопрос имеет простое объяснение: они появляются из-за лени, спешки или недостаточного понимания рисков. Ответ на первый вопрос можно представить в виде интересного списка, который показывает предсказуемость многих интернет-пользователей.

Изображение предоставлено компанией «Пассворк»

Вот самые распространенные привычки:

  • Использование минимально допустимой длины пароля (обычно это 8 символов)
  • Применение заглавной буквы всего один раз и только в начале пароля
  • Выбор для пароля популярных у большинства спецсимволов (@, #, $, &)
  • Цифры, как правило, размещают в конце пароля, и чаще всего это дата рождения

Еще одна неявная привычка пользователей — минимальные изменения в старом пароле при его смене. Достаточно заменить заглавную букву на строчную или поменять местами две цифры, и система примет «новый пароль». Это сводит на нет эффективность корпоративной политики кибербезопасности. И как же уследить за каждым сотрудником и отконтролировать всевозможные моменты?

Корпоративный менеджер паролей как оптимальное решение

Решением всех перечисленных проблем может стать централизованная платформа для всех сотрудников — корпоративный менеджер паролей. Каждому отдельному пользователю попросту не придется придумывать пароли, за него это сделает программный алгоритм, лишенный человеческих слабостей.

Пользователю достаточно запомнить всего один «сильный» мастер-пароль для авторизации. Все остальные пароли хранятся в памяти системы и могут вводиться автоматически. Хороший парольный менеджер зачастую легко интегрируется с популярными браузерами при помощи расширения и имеет свое мобильное приложение.

А для усиления степени безопасности можно подключить двухфакторную аутентификацию (2ФА), что исключает проникновение в систему даже с украденным мастер-паролем.

При этом всей системой управляет назначенный компанией администратор: он распределяет доступ пользователей к различным сейфам и папкам. Таким образом, каждый сотрудник видит только те пароли, которые ему разрешены.

Автоматический аудит безопасности, мониторинг действий пользователей и своевременные напоминания о необходимости смены паролей, а также встроенный генератор сложных паролей обеспечивают надежность и удобство.

Ситуации, создающие риски

Помимо действий конкретных пользователей, риски для информационной системы компании несут и вполне естественные рабочие процессы.

Например, онбординг и оффбординг. Когда новый сотрудник начинает работу, важно быстро предоставить ему все необходимые доступы. Это позволит ему сразу приступить к выполнению своих обязанностей, а не тратить время на выяснение у коллег, как получить доступ к различным аккаунтам.

Изображение предоставлено компанией «Пассворк»

Плюс на некоторых позициях во многих компаниях текучка кадров — привычное явление. И каждый раз при уходе сотрудника, имевшего доступ к корпоративным аккаунтам, важно своевременно предпринять все необходимые меры. Даже однодневная задержка в смене паролей может оказаться критичной для бизнеса.

Еще одна распространенная ситуация: когда ключевой сотрудник заболел или ушел в отпуск и не отвечает на сообщения и звонки, а пароль к онлайн-сервису для выполнения важной и срочной задачи есть только у него.

Корпоративный менеджер паролей поможет администратору быстро предоставить нужные доступы новому сотруднику или тому, кто временно заменяет своего отсутствующего коллегу, а также вовремя обновить необходимые пароли после увольнения человека из компании.

Подручные, но небезопасные средства сисадминов

Не стоит забывать и об устаревших методах администрирования, которые в разы повышают риски утечки всех паролей сразу.

Например, системные администраторы могут иметь привычку хранить корпоративные пароли в Excel-файле или Google-документе. Если в компании только один администратор, это с натяжкой можно назвать приемлемым. Однако как только появляется второй специалист с аналогичными функциями, риски возрастают: «секретная экселька» теряет свою конфиденциальность, а хранение паролей в облаке без какого-либо шифрования — в принципе плохая затея.

Изображение предоставлено компанией «Пассворк»

Использование в компании парольного менеджера сразу обеспечивает гораздо лучшую защиту, чем любой локальный файл и тем более облачный документ, ведь все данные хранятся на вашем сервере, к тому же в зашифрованном виде.

При этом от обычных сотрудников не требуется каких-то сложных действий, чтобы ежедневно работать с корпоративными доступами. В свою очередь администраторы, управляющие системой, наконец-то обретают дзен в работе на удобной платформе.

Готовое решение для кибербезопасности вашей компании

В качестве хорошего примера можно привести менеджер паролей «Пассворк» — это отечественное решение от аккредитованной ИТ-компании, которое внесено в единый реестр российского ПО. Высокая степень надежности обеспечивается благодаря тому, что все данные хранятся на сервере клиента и шифруются алгоритмом ГОСТ или AES-256 по вашему выбору.

«Пассворк» работает на PHP и MongoDB, а также поддерживает установку на Windows Server и Linux с Docker или без него.

Интерфейс менеджера паролей «Пассворк»

Продуманный функционал, простота и удобство в использовании позволяют легко внедрить менеджер паролей в повседневные рабочие процессы. Администратору доступны детальные настройки прав пользователей, а пользователи могут наслаждаться интуитивно понятным интерфейсом и экономить рабочее время.

Еще одним преимуществом является поддержка двухфакторной аутентификации (2ФА) для подтверждения входа, что обеспечивает дополнительный уровень безопасности корпоративных данных. А наличие мобильного приложения и браузерного расширения добавляют комфорта.

Более того, система сама следит за ситуацией и предлагает меры по улучшению безопасности — например, обнаруживает слабые, устаревшие или скомпрометированные пароли и рекомендует их сменить.

Вы можете протестировать корпоративный менеджер паролей «Пассворк» 30 дней без оплаты, сделав запрос от своей компании на сайте — passwork.ru

Реклама. ООО «ПАССВОРК» ИНН 2901311774  ОГРН 1222900006262. Erid: 2VfnxxTXPzG

Подписывайтесь
на наши каналы в Telegram

«Хайтек»новостионлайн

«Хайтек»Dailyновости 3 раза в день

Первая полоса
Посмотрите на редкую и популярную тигрицу из Таиланда: один ген сделал ее звездой
Наука
Эксперты опубликовали прогноз на 2025 год: как изменится мир
Наука
Посмотрите, как в небе над Якутией взорвался метеорит
Космос
Япония создавала биологическое оружие: ученые нашли доказательства
Наука
Скрытую структуру нашли под поверхностью Луны
Космос
Новая карта Вселенной раскрыла странную аномалию: что обнаружили ученые
Космос
«Толмач» мгновенно переводит живую речь на русский: появился новый сервис на базе ИИ
Новости
Крупнейшее беспилотное метро запустили в Саудовской Аравии
Новости
Появились роботы, которые работают на водке
Наука
Китай строит крупнейший в мире полноповоротный радиотелескоп  
Космос
Появилось приложение, которые предсказывает дату смерти: как оно работает
Новости
Российские ученые потеряли доступ к БАК: что это значит для науки
Наука
Эти пять галактик нарушают законы космологии: что с ними «не так»  
Космос
Тайна Лох-Нессского чудовища: эксперт нашел простое объяснение  
Наука
Обнародован первый геймплей экшена «Война Миров: Сибирь»
Новости
Посмотрите на уникальную 3D-модель Солнца
Космос
В обществе древних фермеров социального неравенства не было, показало исследование
Наука
Найден способ на миллионы лет сохранить в алмазе терабайты информации
Новости
Странная гипотеза: инопланетяне используют звезды для межгалактических путешествий
Космос
Базовый гаджет для дома: обзор «Яндекс ТВ Станции Бейсик»
Кейсы