Согласно исследованиям, около 41% авторизаций в интернете производятся с использованием скомпрометированных паролей. Повторное использование паролей — одна из главных проблем в информационной безопасности.
Пользователи используют одинаковые пароли в среднем для четырёх учётных записей на разных сайтах. Рано или поздно все пароли попадают в открытый доступ.
Главные источники утечек — социальные сети и почтовые сервисы:
Затем эти пароли используются злоумышленниками на других сайтах, особенно успешно — на платформе WordPress (76% успешных авторизаций):
Утечки паролей
IT-компании пытаются подойти к решению проблемы с разных сторон:
- Базы скомпрометированных паролей вроде Have I Been Pwned (HIBP) публикуются в открытом доступе, чтобы уведомить пострадавших пользователей о необходимости поменять пароль. Это полезная информация в том числе и для злоумышленников, но в данном случае плюсы перевешивают минусы.
Атака типа credential stuffing
- Проверка паролей без их раскрытия. По сверке парольных хэшей можно определить, присутствует ли пароль пользователя в базах с раскрытыми паролями (пример механизма проверки для веб-сервиса).
Например, парольный менеджер Chrome автоматически сверяет пароли пользователя с базами скомпрометированных паролей. После этого пользователю выдаётся информация, сколько у него раскрытых паролей, повторяющихся и простых (на КДПВ). Соответственно, можно легко и быстро сменить их, а парольный менеджер при этом предлагает сгенерировать надёжный уникальный пароль.
- Нормативные стандарты.
Раньше в индустрии считалось правильным регулярно принудительно изменять пароли пользователей. Например, стандарт NIST SP 800-63 (Digital Identity Guidelines) от Национального института стандартов и технологий США предусматривал принудительную смену паролей каждые шести месяцев. Но исследования показали, что в итоге это приводит к ухудшению защиты, поскольку пользователи создают тогда используют более слабые пароли по маске или шаблону типапароль12,пароль13и т. д. Вместо этого NIST теперь рекомендует использовать длинные, случайно сгенерированные пароли и многофакторную аутентификацию (MFA).
В новой редакции NIST SP 800-63 сформулированы актуальные требования к защищённой аутентификации пользователей в онлайн-сервисах:
- использование passkeys (в стандарте названы syncable authenticators);
- аутентификация, устойчивая к фишингу;
- требования к хранилищам паролей (attribute bundles);
- регулярная повторная аутентификация (реаутентификация);
- сессионные токены.
- использование passkeys (в стандарте названы syncable authenticators);
Согласно последней редакции стандарта, запрещены пароли короче восьми символов, рекомендованный минимум — 15 символов. Регулярно менять пароли по графику, это признано устаревшей практикой. Запрещено предъявлять требования к составу пароля (например, «Ваш пароль должен содержать букву, цифру и специальный символ»). Рекомендовано разрешить к применению в паролях большинство символов Unicode (в том числе эмодзи). Ограничение на максимальную длину пароля не может быть менее 64-х символов. Запрещено использовать подсказки к паролям и проверочные вопросы. При вводе паролей нужно обязательно ограничивать частоту попыток ввода (rate limit) и число неудачных попыток.
Принудительный сброс паролей
Злоумышленники активно проверяют раскрытые пароли на разных веб-сервисах, чтобы завладеть чужими аккаунтами. Этот процесс автоматизируется с помощью ботов в атаках типа credential stuffing для захвата аккаунта:
источник
Новая версия стандарта обязывает иметь стоп-лист популярных паролей или паролей из утечек, а при обнаружении утечки пароли нужно немедленно сбрасывать.
Проблема повторного использования паролей до сих пор не решена полностью, потому что пароли сами по себе — неоптимальный способ аутентификации. Например, компания Microsoft планирует ввести беспарольные методы аутентификации для 1 млрд пользователей.
Такие меры помогут Microsoft уменьшить количество успешных атак по захвату чужих аккаунтов. В декабре 2024 года компания отражала 7000 парольных запросов в секунду от хакерских ботов.
Согласно заявлению Microsoft, «эра паролей уходит в прошлое», а будущее — за кодами passkeys.
Но пока пароли ещё не ушли в прошлое, нужно следить за утечками и по возможности отключать скомпрометированные пароли. Например, в браузере Chrome сейчас тестируется раздел новых ИИ-функций, в том числе экспериментальная функция автоматического изменения пароля после утечки:
Функция отображается в разделе
chrome://password-manager/settings/password-change.
Lx6g1ZG1
По опыту работы в одной организации: у нас внутреннюю доменую учётную запись нужно было менять каждые 30 дней (или она блокировалась). Предъявлялись строгие правила пароль не менее 8 символов, числа и буквы в разном регистре, наличие метасимволов и нельзя было ставить пароль который уже использовался в предыдущий раз.
Но вот это работало:
пароли по маске или шаблону типа
пароль12,пароль13nitro80
А оно разве не умеет проверять соответствие предыдущему паролю?