В результате проведенного исследования компанией Ponemon оказалось, что большинство пользователей не придают должного значения своим паролям к различным сайтам и сервисам. В среднем, каждый пользователь использует лишь 5 различных паролей для доступа ко всем необходимым ему сайтам. А вдобавок они часто стают достоянием коллег и случайных людей.
Больше половины пользователей использует не более пять пар логин-пароль для своих аккаунтов
Практически три четверти людей не хранят свои пароли в тайне и спокойно делятся ими с коллегами. К таким выводам пришли специалисты компании Ponemon Institute, которые опросили около 1800 работников и инженеров служб IT и ИБ. Также аналитики выяснили, что больше половины отпрошенных в своей повседневной работе используют не более пяти отличающихся паролей в личных и служебных целях. Также в 55% компаний отсутствует двухфакторная авторизация в любом виде.
Системный инженер Fortinet Дмитрий Купецкий сказал: «Недостатки парольного доступа всем известны, они представляют собой значительную проблему для безопасности данных компаний и обычных пользователей. Большинство систем контроля паролей заставляет пользователей создавать пароли по определенным правилам и запомнить их практически невозможно. Система заставляет людей использовать ограниченное число паролей из-за их сложности и частой сменяемости.
Исследование показало, что 57% пользователей считают «строгие» парольные правила слишком сложными и предпочли бы входить в интернет-сервисы по другим способам идентификации. К слову, каждый человек в среднем забывает свой пароль раз в неделю и тратит на его восстановление до 12,5 минут.
«Забывание» и утеря паролей не меняют мировоззрение пользователей
Пренебрежительное отношение к паролям часто ставит под угрозу безопасность всего предприятия. Так, 65% опрошенных заявили, что сталкивались с фишинговыми атаками за последние два месяца, однако свое отношение к паролям не изменили. Часто встречаются случаи, когда пользователи сообщали коллегам свои данные для входа в корпоративные сервисы или просто записывали их на бумажке и оставляли в ящике рабочего стола.
Большинство экспертов в один голос твердят, что руководству компаний необходимо разъяснять своим сотрудникам правила хранения паролей. Параллельно с этим необходимо начать разработку кардинально других способов идентификации, например, по отпечатку пальца или сетчатки глаза. В перспективе необходимо внедрение системы безопасности на основе ДНК пользователя.
В качестве противодействия безответственного отношения к паролям может стать система наказания и поощрения, использование дополнительных технических средств (сертификаты, токены). Уже сейчас существует специализированное ПО, позволяющее авторизировать пользователя по косвенным данным, например, характеру движения мыши либо набора определенных символов. Однако такие средства не получили должного распространения, утверждает Дмитрий Купецкий.