Почему пароли больше ничего не защищают?

Большинство пользователей крайне неаккуратно обращаются со своими паролями и другими идентификационными данными, постоянно забывают их, не испытывая по этому поводу беспокойства и рассчитывая в подобных случаях на помощь отдела информационных технологий предприятия, на котором они работают.

Таковы неутешительные результаты последнего опроса, проведенного компанией Rainbow Technologies, занимающейся вопросами безопасности.

Конечно, исследование это открытия не произвело и не стало сюрпризом для работников IT-отделов. Дурные привычки служащих в отношении паролей специалистам до боли знакомы. Тем не менее, степень, до которой кадры пренебрегают безопасностью собственных предприятий, не может не огорчать. «Меня удивляет, что люди продолжают полагаться на надежность своих паролей, которой нет и в помине, — говорит вице-президент службы безопасности компании Rainbow Берни Коуэнс (Bernie Cowens) в интервью журналу eWeek.

— Ни для кого не секрет, что пароли уже давно ничего не защищают, а мы продолжаем прятать голову в песок, как страусы».

В ходе опроса, который проводили 3 000 администраторов, менеджеров и специалистов по безопасности из Rainbow, выяснилось, что 55% пользователей записывают свой пароль на бумаге хотя бы однажды, а 9% записывают каждый свой пароль. Более того, 40% респондентов признались, что сообщают свой пароль коллегам и другим людям.

Срез также показал, что некоторые меры предосторожности, принимаемые самими организациями для увеличения степени защиты, действуют во вред. Взять, к примеру, такую популярную корпоративную политику, когда от работников компании требуется выбирать пароли либо состоящие из цифр и букв, либо состоящие из букв, которые не складываются в слово.

Смысл ее в том, чтобы оградить себя от так называемых «атак словарями» — злоумышленники применяют автоматизированные способы перебора тысяч слов, пока одно из них не подойдет в качестве пароля. Около 80% участников опроса отметили, что подобная мера лишь добавляет повод хранить пароль на бумаге, а не в голове.

«Таким образом, — отмечают представители Rainbow в предисловии к отчету, — меры по усилению безопасности не обязательно приводят к реальному усовершенствованию защиты, а иногда даже ослабляют ее».

Все же нельзя свалить вину целиком на пользователей. То же исследование обнаружило, что к 20% респондентов не предъявляются требования о смене пароля через определенные промежутки времени, и только 38% опрошенных меняют пароль 5 и более раз в год.