Беспрецедентная утечка паролей серьезно пошатнула безопасность всего интернета. Немалая часть из 150 миллионов скомпрометированных пользователей Adobe использовала такие же учетные данные и на других ресурсах. И если Facebook иницировал смену идентичных паролей, то администраторы корпоративных и государственных веб-приложений среагируют, скорее всего, с отставанием.

Угроза массовых кибератак, связанная с пользователями Adobe, усугубляется тем фактом, что большинство используемых паролей могут быть легко подобраны без всяких утечек. Вообще слабая парольная политика является главной причиной взлома корпоративных информационных систем: об этом свидетельствует практическое исследование компании Positive Technologies , данные которого готовятся сейчас к публикации.

Согласно результатам работ по тестированию на проникновение, проведенных специалистами Positive Technologies в 2011 и 2012 годах для крупнейших государственных и коммерческих организаций (в том числе, входящих в рейтинг 400 крупнейших компаний по версии агентства «Эксперт»), - словарные пароли возглавили тройку уязвимостей, чаще всего встречающихся на сетевом периметре исследованных ресурсов.

На публичных ресурсах, доступных из интернета, слабые пароли встречались в 79% систем. При этом почти в половине случаев, когда есть опасность проникновения из интернета во внутреннюю сеть, это возможно именно из-за слабых паролей пользователей.

Стоит отметить, что слабые пароли часто используются не только простыми пользователями, но и привилегированными; самые популярные словарные пароли, используемые администраторами, - admin и P@ssw0rd. У рядовых пользователей лидируют пароли, совпадающие с именем пользователя, и пароли, состоящие только из цифр. Среди таких паролей самый распространенный - 123456: в одной крупной организации его использовали более тысячи пользователей. А если требования к минимальной длине пароля чуть более жесткие, пальму первенства захватывает пароль 12345678.

Словарные пароли используются как на уровне веб-приложений, так и для доступа к различному сетевому оборудованию и серверам.

Полная версия отчета «Статистика уязвимостей корпоративных информационных систем (2011-2012 гг.)» будет опубликована в конце ноября 2013 года.

Подробнее на iXBT