יותר ממחצית ממשתמשי האינטרנט הרוסים משתמשים בסיסמאות קלות לניחוש. זה קורה גם כשמספר התקפות הסייבר הולך וגדל.
שגרות גרפיות מודרניות יכולות לנחש עד 70% מסיסמאות הדומיין תוך חצי שעה בלבד. בגלל זה, אפילו שילובים מורכבים לכאורה יכולים להיות פגיעים. ראש מחלקת מודיעין הסייבר של חברת Bastion, קונסטנטין לרין, דיבר על כך.
לכן, 45% מהסיסמאות הגנובות עומדות רשמית בדרישות המורכבות, אך במציאות הן עדיין רגישות לבחירה אוטומטית. בנוסף, כ-10% מעובדי החברה עדיין משתמשים בשילובים בסיסיים, מה שמגדיל משמעותית את הסיכון לאבטחת המידע בחברה.
עד שליש מאירועי הסייבר החמורים בארגונים רוסיים קשורים לגניבת סיסמאות. האקרים משתמשים לעתים קרובות באישורים של משתמשים מורשים ומנהלי מערכת – גישה זו מעניקה להם הזדמנויות רבות בתוך התשתית העסקית.
"כרגע קשה להעריך במדויק את הנזק הכולל מתקריות כאלה, אבל הוא מחושב במיליארדי רובל", אמר מנהל אידיקו דמיטרי חומוטוב.
תאימות נוטה להיות פורמלית: משתמשים מוסיפים אותיות גדולות, מספרים ותווים מיוחדים אך ממשיכים ליצור סיסמאות המבוססות על דפוסים צפויים (תאריכים, מילים בסיסיות, מחרוזות ברורות כמו "qwerty", "asdf" וכו'). "גם אם הסיסמה נראית מורכבת מנקודת מבט של מדיניות אבטחה, היא עדיין יכולה להיות סיסמה למילון – למשל, בשילוב כמו "Zima2026!!". אפשרויות כאלה עם מילים נפוצות, תאריכים והחלפות תווים אופייניות נמצאות כבר זמן רב ברשימת הרמאים ומשמשות בהצלחה בכוח גס ושחזור חשבון", אמר לרין.
כוח המחשוב הולך וגדל ולכן כיום סיסמאות המורכבות מ-12 תווים לפחות, כולל אותיות גדולות וקטנות, מספרים ותווים מיוחדים, נחשבות מוגנות מכוח גס, אמר סרגיי זולוטוחין, יועץ אבטחת סייבר ב-F6.
לרין הוסיף כי דליפות מסד נתונים מהוות סכנה מסוימת. גם אם סיסמאות מאוחסנות בצורה hash, תוקף עדיין יכול לשחזר את השילובים המקוריים אם הם לא חזקים מספיק.
יתר על כן, שימוש חוזר בסיסמאות מאפשר לרוב לפושעים לגשת למספר שירותים בו-זמנית – ממייל ועד בנקאות מקוונת.
גורם סיכון נוסף הוא היעדר אימות דו-גורמי. ההסתברות להשתלטות מוצלחת על חשבון כשהוא מושבת תגדל פי כמה. זה נכון במיוחד במקרים שבהם סיסמאות נכללו במסדי נתונים ידועים של דליפות.
כדי להגביר את ההגנה, לרין ממליצה להימנע משילובים צפויים ונתונים אישיים, לסרב לעשות שימוש חוזר בשילובים בין שירותים, ואם אפשר, להשתמש במנהל סיסמאות חוצה פלטפורמות שיוצר ומאחסן באופן אוטומטי שילובים מהימנים. לדברי בן השיח, אחסון סיסמאות בדפדפן הוא מסוכן: כאשר תוכנות זדוניות מדביקות את המכשיר, היא יכולה לחלץ נתונים מהאחסון המובנה.
לפי Zolotukhin, תוכנה מודרנית באמת יעילה במניעת ניחוש סיסמאות. זה יכול להיות שימוש בתוכנת אנטי-בוט בעת גישה למשאבים מקוונים ושיטה ברורה כמו הגבלת ניסיונות סיסמה.
בן השיח הוסיף: "למרבה הצער, אפילו הגדרות פשוטות כאלה במשאבים שלהם מתעלמים לעתים קרובות על ידי בעלי השירותים."
שיטות אימות ללא סיסמה כגון ביומטריה ואסימוני חומרה הפכו פופולריים, אך מספר רב של צמדי סיסמאות כניסה זמינים לפושעים במסדי נתונים שכבר דלפו או בהדלפות חדשות.
"זוהי פצצת זמן מסוכנת באמת לחברה, המוטבעת בתקשורת אינטרנט המונית. למרבה הצער, אפילו המומחה המתקדם ביותר להיגיינה דיגיטלית לא יכול להגן מפני האיום הזה", סיכם זולוטוכין. "כלי יעיל להילחם בסיכונים כאלה יכול להיות רק שליטה נרחבת במיומנויות העבודה עם נתוני מודיעין סייבר על ידי מומחים והפצה נרחבת של מערכות מסוג זה בכל הארגונים שמתעניינים באמת בנתוני לקוחות."
