Мы провели последние шесть месяцев за изучением взломанных, за последние два года, паролей и создали несколько инструментов позволяющих лучше понять стратегии их создания. И вот, что получилось в результате.

Как специалисты по безопасности, мы часто сталкиваемся с извечной проблемой паролей в различных средах, системах, внедрениях и прочем хаосе. Интересным аспектом, с которым мы регулярно сталкиваемся при компрометации организаций, является психология, лежащая в основе выбора паролей людьми. Эта статья раскрывает закономерности и тенденции в создании паролей в среде Windows, проливая свет на общие уязвимости и человеческие факторы, влияющие на безопасность паролей.  

Понимание этих психологических элементов имеет решающее значение для разработки более эффективных стратегий безопасности и обучения пользователей безопасным методам ввода паролей. Не менее важно оно и при создании методик взлома, позволяющих эффективно оценить уровень безопасности организации и подобрать ключи к ее владениям.

В этой статье рассматриваются тенденции, выявленные за последние два года, и проводится сравнение сильных и слабых политик паролей. В ней также рассматривается поведение пользователей, которое формируется под влиянием этих политик.

Мы используем hashcat в качестве стратегического и систематического подхода к развитию наших проектов в течение времени, особенно в области взлома хэшей паролей. Этот метод доказал свою эффективность в поиске открытого текста для различных интересных паролей, что позволяет получить ценные сведения о тенденциях и практике организаций при разработке политики паролей.

Кроме того, этот подход лежит в основе наших стратегий по подбору паролей и проведению spray-атак на конечные точки, улучшая наше понимание мыслительных процессов, распространенных в конкретных отраслях, и того, как можно обойти определенные средства защиты.

Ключевые данные

Весь анализ, приведенный в этой статье, получен в результате взлома паролей windows NTLM в течение двух лет; общее количество хэшей составило 186149, уникальных хэшей - 99918, а взломано было 31200, благодаря чему было получено множество одинаковых паролей для разных пользователей и компаний.

Анализ этого обширного массива данных позволяет сделать ценные выводы:

1. Повторное использование паролей: Большое количество одинаковых паролей свидетельствует о широком распространении проблемы повторного использования паролей различными пользователями и компаниями, что значительно снижает безопасность.

2. Распространенные слабые пароли: Успех во взломе значительной части хэшей указывает на то, что многие пользователи продолжают использовать слабые пароли, которые уязвимы для инструментов и методов взлома.

3. Отраслевые модели: Данные могут выявить закономерности в создании паролей и применении политик в различных компаниях, что позволит понять специфику отраслевой безопасности.

Наши правила и настройки Hashcat

В зависимости от типа хэша будет зависеть то, как мы подходим к его взлому на нашем оборудовании; обычно для быстрого взлома таких хэшей, как NTLM, мы используем список слов для быстрого перебора, затем правила, затем специфику, связанную с названием компании, и другие подходящие словосочетания или фразы.

Скорость взлома NTLM составляет ~600 GH/s. Мы объединили несколько RTX 4090, 3090 и других видеокарт.

Мы используем набор пользовательских и стандартных списков слов, когда нацелены на конкретные организации. Здесь показаны стандартные публичные списки, которые мы используем с различными правилами:

• HaveIBeenPwned password list from PwnedPasswords

• Common Corp Passwords

• English Dictionary

• Crackstation

• Antipublic

• Weakpass_3a

Что касается наборов правил, то мы также используем публичные и частные наборы, и здесь представлены те из публичных, которыми пользуемся мы:

• OneRuleToRuleThemAll

• OneRuleToRuleThemStill

• Pantagrule

Наконец, помимо списков слов и правил, есть несколько пользовательских масок, которые мы часто используем при работе с конкретными организациями, но есть и стандартный список масок и команд hashcat:

CompanyName?a?a?a?a?a?a
Colour?a?a?a?a?a?a

Распространенной тенденцией, наблюдаемой в различных компаниях, является использование ситуативных или структурированных по времени паролей. Пользователи часто создают пароли, включающие такие элементы, как текущее время года, месяц, день, название компании или отдела, за которыми обычно следует дата. Такая предсказуемая схема облегчает взлом подобных паролей с помощью правил и масок hashcat, обеспечивая эффективный и быстрый подбор пароля.

Andy Gill, один из наших консультантов, написал пакет инструментов для анализа файлов pot, который мы использовали для создания основных списков слов и стандартных правил:

Процесс взлома, как правило, предполагает выбор компании с помощью специального списка слов и наборов правил, перебор до девятисимвольного пространства ключей с оптимизированным пространством ключей, разбор профиля и повторное сравнение взломанного списка с набором правил для выявления закономерностей.

Каким был твой пароль прошлым летом?

По мере становления компаний меняются и их парольные политики. Прошли те времена, когда многие наши клиенты ограничивались simplySummer2024! и ты стоишь у входной двери. Но мы все еще время от времени встречаем SeasonYYYY или его вариации в менее продвинутых компаниях. Вот некоторые примеры использования времен года и упоминаний о них:

Мы написали собственный инструмент для анализа паролей. Получив на вход взломанные хэши, он анализировал общие слова, фразы и другие атрибуты. Результаты работы этого инструмента показаны на следующих скриншотах: распространенные пароли, лучшие пароли, дни недели, месяцы года, времена года и цвета.

Средняя длина 11 символов свидетельствует о хорошем улучшении по сравнению с прошлым годом и о более зрелых политиках паролей, применяемых в организациях. Несмотря на то, что все еще есть отклонения от нормы, общий охват предприятий, похоже, находится на траектории улучшения.

Несмотря на то, что люди являются большими поклонниками лета, оказалось, что зимние месяцы более распространены в паролях.

Название этой статьи дает понять, что люди очень любят лето, и это видно по их парольным креативам.

У многих людей любимый цвет - синий, за ним следуют красный и зеленый.

Из лучших паролей года 108 были продуманными, рассчитанными до 2025 год; злоумышленники до такого никогда не додумаются!

Интересные пароли

Мы сталкиваемся со многими интересными паролями; вот некоторые из наших любимых, которые мы видели за последние пару лет, как безопасные, так и забавные.

<Passw0rd1><Passw0rd2>
#1PeppermintPatty
Grits&Gravy4u
HelloSummertime2023!
Security4You
Sec9re_NobodyWillGuessMe
Gustavo12345678901234567890
Green eggs and ham!
Why $o Serious?

Эти пароли были взломаны с помощью комбинации атак по маске, списка слов и атак на основе правил. Кроме того, базовые списки паролей использовались итеративно для взлома других паролей. Помните, что сложность и длина пароля могут сделать его взлом трудоемким и ресурсоемким, особенно в случае паролей с высокой энтропией.

Последующий анализ дубликатов

Проведенный нами анализ выявил значительное количество дубликатов и уникальных пользователей с общими паролями. Наблюдалась повторяющаяся картина, когда учетные записи, созданные организацией для определенных целей, имели одинаковые пароли, часто в результате процедур массового сброса.

Кроме того, были отмечены случаи, когда пользователи с несколькими учетными записями, особенно с привилегированным доступом, повторно использовали пароли в разных организациях. Исследование также пролило свет на случаи, когда пользователи, сменив организацию, продолжали использовать плохие пароли, перенося те же слабые пароли на новые места работы.

• Общее количество хэшей: 186149

• Общее количество дубликатов хэшей: 56648

• Всего пользователей с дублирующимися паролями: 11359

Успешно взломанные пароли были проанализированы по общедоступным спискам из SecLists, чтобы выявить интересные совпадения в публичных списках слов.

2020-200_most_used_passwords.txt: 19 matches
2023-200_most_used_passwords.txt: 20 matches
500-worst-passwords.txt: 39 matches
bt4-password.txt: 212 matches
cirt-default-passwords.txt: 7 matches
clarkson-university-82.txt: 7 matches
common_corporate_passwords.lst: 118 matches
darkc0de.txt: 135 matches
darkweb2017-top10.txt: 5 matches
darkweb2017-top100.txt: 9 matches
darkweb2017-top1000.txt: 54 matches
darkweb2017-top10000.txt: 161 matches
days.txt: 17 matches
dutch_common_wordlist.txt: 105 matches
dutch_passwordlist.txt: 724 matches
months.txt: 48 matches
Most-Popular-Letter-Passes.txt: 94 matches
mssql-passwords-nansh0u-guardicore.txt: 118 matches
openwall.net-all.txt: 143 matches
probable-v2-top12000.txt: 148 matches
probable-v2-top1575.txt: 65 matches
probable-v2-top207.txt: 26 matches
richelieu-french-top20000.txt: 104 matches
richelieu-french-top5000.txt: 67 matches
scraped-JWT-secrets.txt: 8 matches
seasons.txt: 40 matches
twitter-banned.txt: 34 matches
unkown-azul.txt: 9 matches
UserPassCombo-Jay.txt: 23 matches
xato-net-10-million-passwords-10.txt: 4 matches
xato-net-10-million-passwords-100.txt: 16 matches
xato-net-10-million-passwords-1000.txt: 53 matches
xato-net-10-million-passwords-10000.txt: 121 matches
xato-net-10-million-passwords-100000.txt: 284 matches
xato-net-10-million-passwords-1000000.txt: 525 matches
xato-net-10-million-passwords-dup.txt: 523 matches
xato-net-10-million-passwords.txt: 755 matches

Результаты показывают, что все выявленные пароли уже известны и включены в стандартные списки слов. Это говорит о большей вероятности успешной компрометации злоумышленниками.

Советы по созданию паролей

При выборе пароля традиционно рекомендуется использовать сочетание специальных символов, цифр, заглавных и строчных букв, а его длина должна составлять не менее 8 символов. Однако эти рекомендации меняются. Наблюдения наших более опытных клиентов показывают, что приоритет длины пароля над сложностью и менее частая его смена способствуют принятию парольных фраз. Их легче запомнить, но при этом они остаются сложными для взлома, обеспечивая баланс между безопасностью и удобством использования.

Как британские, так и американские правительственные службы безопасности дают отличные советы по созданию паролей, поэтому здесь собраны их рекомендации, которые помогут вам создать надежные пароли:

1. Длина имеет большое значение; при создании политики Active Directory старайтесь использовать не менее 16 символов.

Чтобы помочь пользователям в создании длинных паролей, попробуйте предложить использовать четыре случайных слова и соединить их специальным символом — или $. Это увеличивает сложность и одновременно длину. Примером может быть:

• Sunset" class="formula inline">GuitarJourney или Cloudy-Envelope-Rainbow-Dinosaur (Не используйте эти два примера, так как они тоже есть в нашем списке слов ;) )

Обе фразы укладываются в приличную длину, поскольку фраза «Cloudy‑Envelope‑Rainbow‑Dinosaur» состоит из 32 символов, включая дефисы, а «SunsetPuzzle$Journey» — из 28 символов, включая знаки доллара.

2. При установке паролей по умолчанию или первичных паролей для организации рекомендуется использовать алгоритм генерации уникальных паролей пользователей, а не полагаться на статическое значение. Если применение такого алгоритма не представляется возможным, альтернативный подход заключается в том, чтобы требовать от пользователей смены пароля при первом входе в систему. Такая практика помогает минимизировать риски безопасности.

3. Для того чтобы пользователи сохраняли уникальные пароли, полезно поощрять и внедрять менеджеры паролей. Эти инструменты помогают не только генерировать надежные пароли, но и создавать отдельные и уникальные пароли для разных учетных записей. Такой подход позволяет пользователям отказаться от легко взламываемых паролей, таких как базовые фразы, общие слова (например, «добро пожаловать» или «пароль»), времена года, месяцы, годы и места. Вместо этого пользователи могут выбрать рекомендуемый метод комбинирования четырех случайных слов, которые затем можно надежно хранить в менеджере паролей. Такая стратегия повышает общую безопасность паролей и улучшает управление ими.

Заключение

Эта статья посвящена безопасности паролей в средах Windows, особенно с точки зрения внутреннего использования данных, собранных во многих информационных системах. Однако важно подчеркнуть, что надежная политика паролей не должна быть единственной линией обороны организации. В дополнение к надежным паролям необходимо применять дополнительные меры защиты.

Ключевой задачей среди них является внедрение многофакторной аутентификации (MFA), которая обеспечивает дополнительный уровень безопасности, помимо пароля. MFA требует от пользователей предоставления двух или более факторов проверки для получения доступа к ресурсу, такому как приложение, онлайн‑учетная запись или VPN. Это значительно снижает риск несанкционированного доступа. По мере возможности некоторые клиенты внедряют MFA для доступа к внутренним ресурсам, используя существующих провайдеров единой регистрации и аналогичные технологии управления идентификацией и доступом для ограничения возможности «бокового» перемещения.

Кроме того, организациям следует придерживаться принципа «глубокой обороны». Это комплексный подход к кибербезопасности, который предполагает использование нескольких защитных механизмов. Если один механизм выходит из строя, другой немедленно вступает в действие, чтобы предотвратить атаку. Этот подход включает в себя технологические решения, а также политики, процедуры и обучение персонала, чтобы закрыть все возможные бреши в системе безопасности.

Применение этих методов наряду с надежной политикой паролей создает более устойчивую и безопасную среду, снижая вероятность успешных кибератак и повышая общую безопасность организации.