О бедном пароле замолвите слово
22 мая 2019
Несчитанное количество раз в наших выпусках мы говорили о паролях. Утечки, брутфорс, брутфорс, утечки… Вечная тема. Вот и в Китае, например, в открытом доступе были обнаружены очередные базы.
18 баз данных MongoDB, содержащих информацию, собранную в рамках программы Китая по наблюдению за гражданами, находились совершенно незащищенными в Сети. Среди собранной по стране информации были имена, номера паспортов, фотографии, данные GPS, информация о сети, публичные и личные переписки и история обмена файлами.
Известно, что в числе прочих платформ анализировалась информация в популярном китайском мессенджере QQ, а также в приложении WeChat.
Геверс, исследователь из некоммерческой организации GDI Foundation, утверждает, что ежедневно обрабатывались данные 364 миллионов профилей, а затем синхронизировались с незащищенными базами MongoDB.
Может быть, злоумышленники успели скачать личные данные, а может, и нет. Это никому не известно. В любом случае любая утечка баз – это возможность атак на компании и пользователей (письмом от имени известного получателю человека, взломом внутренней сети с использованием утекшего пароля и пр.). А проникнув в сеть, злоумышленник хочет поднять привилегии или получить доступ к иным ресурсам сети, кроме уже атакованного. Насколько это сложно?
Согласно исследованию, проведенному компанией Centrify, 74% взломов данных связаны с привилегированным злоупотреблением учетными данными, ресурсами управления идентификацией и доступом.
52% респондентов не имеют хранилищ паролей, 44% лиц, принимающих решения в Великобритании, не знали, что такое управление привилегированным доступом.
- 45% не защищают рабочие нагрузки в публичных и частных облаках с помощью привилегированного контроля доступа (53% респондентов из Великобритании)
- 58% не защищают проекты Big Data с привилегированным контролем доступа (63% респондентов из Великобритании)
- 68% не защищают сетевые устройства, такие как концентраторы, коммутаторы и маршрутизаторы, с привилегированным контролем доступа (72% респондентов из Великобритании)
- 72% не защищают контейнеры с привилегированным контролем доступа (73% респондентов из Великобритании)
«63% компаний обычно требуется более одного дня, чтобы отключить привилегированный доступ для сотрудников, которые покидают компанию», – скорее всего, в случае компрометации пароля для его смены им потребуется тоже больше одного дня. А за день злоумышленник может успеть очень много.
Антивирусная правДА! рекомендует
Мы уже много раз напоминали о том, насколько важно использовать разные пароли к разным ресурсам в сети и на локальном компьютере (в том числе нужен отдельный пароль к настройкам антивируса) – не будем повторяться. А как же обстоят дела на практике?
«Антивирусная правДА!» интересуется:
Пароль в вашей компании назначаются централизованно?
- Да, администратором
- Начальник выдает
- Сам придумываю
Пароль в вашей компании требуется менять регулярно?
- Да
- Нет
- Формально да, но по факту не меняются
В вашей компании назначаются сложные пароли?
- Да, сложность паролей проверяется
- Нет, сложность паролей не проверяется
- Сам придумываю, а уж насколько они сложные…
В вашей компании используются разные пароли к разным ресурсам?
- Нет. Вошел в сеть, а далее все прозрачно
- Да, приходится вводить, хотя это и напрягает
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Альфа
23:51:23 2019-07-14
Andromeda
23:26:47 2019-07-14
razgen
00:44:02 2019-05-23
"база данных, размещенная на Amazon Web Services, некоторое время БЫЛА ДОСТУПНА ДЛЯ ПРОСМОТРА БЕЗ ЗАПРОСА ПАРОЛЯ. Это позволило любому желающему получить доступ к определенной информации.
В открытом доступе оказались личная информация пользователя, номер телефона, адрес электронной почты, а также личные фотографии владельцев аккаунтов и место его положения. База также позволяла оценить пользователей с точки маркетинговой стратегии, делая оценку стоимости каждого аккаунта, вычисляемую на основе числа фолловеров.
Подробнее: https://www.m24.ru/news/tehnologii/21052019/76968?utm_source=CopyBuf
Lia00
23:40:04 2019-05-22
Александр
21:58:30 2019-05-22
orw_mikle
21:24:02 2019-05-22
Геральт
21:07:14 2019-05-22
anatol
20:14:27 2019-05-22
marisha-san
19:50:32 2019-05-22
Шалтай Александр Болтай
18:23:39 2019-05-22
Татьяна
17:58:39 2019-05-22
admin_29
16:40:38 2019-05-22
vkor
16:36:12 2019-05-22
На практике дела обстоят плачевно.
Денисенко Павел Андреевич
15:46:11 2019-05-22
L1t1um
15:27:57 2019-05-22
У нас вот как-то так: 1. - 1, 2. - 2, 3. - 1, 4. - 2
zitkss
15:02:56 2019-05-22
Toma
14:55:45 2019-05-22
robot
14:52:16 2019-05-22
Alexander
14:27:48 2019-05-22
Masha
14:23:29 2019-05-22
vinnetou
13:54:37 2019-05-22
eaglebuk
13:48:42 2019-05-22
Да, администратором
2. Пароль в вашей компании требуется менять регулярно?
Нет
3. В вашей компании назначаются сложные пароли?
Сам придумываю, а уж насколько они сложные… (я администратор)
4. В вашей компании используются разные пароли к разным ресурсам?
Да, приходится вводить, хотя это и напрягает
sgolden
13:46:37 2019-05-22
dyadya_Sasha
13:04:10 2019-05-22
@ka_s, "В соответствии с политикой безопасности, принятой в компании, не имею права разглашать детали системы защиты, действующей в организации"
@ka_s искренне верю,что у вас действительно так, но такой ответ действительно обладает универсальностью.)
dyadya_Sasha
12:50:42 2019-05-22
Ленивый сисадмин:"Хочешь сделать? Хорошо! Сделай сам"))
dyadya_Sasha
12:43:15 2019-05-22
Тоже прочитав возник этот вопросик, только глазом другим подморгнул.))
dyadya_Sasha
12:38:26 2019-05-22
Навеяло на отступления:
- давно не менянный пароль = "что-то парольчик ваш попахивать стал"
- взломанный пароль = "протух голубчик"
- пароль 123 = " Да это и не пароль вовсе, сплошная химия. И потому он вечен!"
Dmur
12:35:52 2019-05-22
dyadya_Sasha
12:31:26 2019-05-22
Красивый абзац, даже перечитал.)
Любитель пляжного футбола
12:27:29 2019-05-22
1. Назначаются администратором (которые не меняются).
2. Меняются регулярно (не все, только наиболее важные).
3. Есть определённые требования к паролям, которые придумывает сам пользователь, дальше этого дело не идёт (да и возможно ли это проверить, даже с учётом неплохих требований к паролю тот может оказаться довольно простым). Усложняешь сам, чтобы не сбрутфорсили.
4. Разные пароли.
В целом, скажу, с ИБ в нашей компании дело обстоит совсем неплохо, по всем параметрам, что мне известны. А я не чайник. :)
Lenba
11:34:58 2019-05-22
I23
11:28:55 2019-05-22
Zserg
11:11:43 2019-05-22
I46
11:03:17 2019-05-22
EvgenyZ
10:56:30 2019-05-22
sanek-xf
10:41:45 2019-05-22
Natalya_2017
10:28:02 2019-05-22
2. Да, меняются регулярно
3. Сами придумываем, а уж насколько они сложные)..
4. Нет. Вошел в сеть, а далее все прозрачно
dyadya_Sasha
09:59:33 2019-05-22
На разные ресурсы по-разному:Да, администратором и Сам придумываю
Пароль в вашей компании требуется менять регулярно?
На разные ресурсы по-разному:присутствуют все три варианта ответа.
В вашей компании назначаются сложные пароли?
Опять же от ресурса зависит:Да, сложность паролей проверяется и Сам придумываю, а уж насколько они сложные…
В вашей компании используются разные пароли к разным ресурсам?
Да, приходится вводить, хотя это и напрягает.
Alexander
09:49:06 2019-05-22
Пароль - это лишь один из способов их употребления в виде слов реальных, искажённых или видоизменённых, аббревиатур или искусных сокращений и замен букв. Пароли разные: простые и сложные, красивые и неказистые, устаревшие и свежие, скомпрометированные или пока ещё нет...
В любом случае, стоит понимать, что каким бы пароль ни был, он имеет и срок жизни, и период "свежести". По истечении срока, его просто необходимо обязательно сменить на новую "ценность" по вашему предпочтению...
По мини опросу о практике на местах. Пароли пользователям назначаются централизованно, меняются календарно ежеквартально, так что в первый месяц работы нового сотрудника пароль может быть назначен и изменён. Сложность назначаемых паролей соответствует степени защищаемого ресурса, и их может быть несколько по уровням доступа.
Oleg
09:41:01 2019-05-22
maestro431
09:10:55 2019-05-22
blade79
09:06:22 2019-05-22
Пароль в вашей компании требуется менять регулярно? Формально да, но по факту не меняются
В вашей компании назначаются сложные пароли? Нет, сложность паролей не проверяется
В вашей компании используются разные пароли к разным ресурсам? Да, приходится вводить, хотя это и напрягает
Неуёмный Обыватель
08:33:45 2019-05-22
Пароль в вашей компании требуется менять регулярно? Нет.
В вашей компании назначаются сложные пароли? Сам придумываю, а уж насколько они сложные…
В вашей компании используются разные пароли к разным ресурсам? Да, но не напрягает, потому что же "сам придумывал"
В общем, так себе...
P.S. А с какой целью интересуетесь ? ;)
tigra
08:18:39 2019-05-22
kozinka.ru
08:04:53 2019-05-22
Ходим по минному полю.
Пaвeл
07:06:18 2019-05-22
Vlad X
06:53:19 2019-05-22
ka_s
06:14:24 2019-05-22
Korney
06:02:54 2019-05-22
achemolganskiy
04:52:02 2019-05-22