Для сравнения данных компания Microsoft использовала хэш-суммы паролей из общедоступных источников, а также дополнительную информацию из правоохранительных органов.
Аналогичный анализ использования повторяющихся паролей проводился в 2016 году. Тогда было обнаружено, что 20% пользователей Интернета используют одни и те же пароли, а еще 27% используют «практически идентичные» пароли для разных аккаунтов. Исследование, проведенное в 2017 году, показало, что интернет-пользователи по-прежнему предпочитают использовать слабые пароли вместо безопасных.
Mozilla и Google разработали отдельные инструменты для повышения надежности паролей. Расширение Password Checkup для Chrome было выпущено в феврале 2019 году, а в августе было интегрировано в браузер. В 2019 году компания также запустила проверку паролей для аккаунтов Google.
Mozilla встроила в браузер Firefox сервис Firefox Monitor, который выполняют проверку надежности паролей и проверку паролей на учетки.
Пользователи менеджеров паролей также могут проверять наличие паролей в открытых базах данных украденных паролей, таких как Have I Been Pwned.
В последние годы Microsoft активно продвигает технологию авторизации без паролей, а результаты исследования компании демонстрируют, для чего это делается.
Microsoft сообщает, что 44 миллиона аккаунтов Azure AD и сервисов Microsoft используют пароли, которые фигурируют в базах данных взломанных паролей. Это 1,5% от общего количества проанализированных учетных данных.
Компания ссылается еще на одно исследование, в котором было проверено 30 миллионов учетных записей. Оказалось, что «52 процента пользователей использовали повторяющиеся пароли или пароли с небольшими изменениями, 30% из которых взломать можно было всего за 10 попыток».
Microsoft собирается принудительно сбрасывать пароли, которые внесены в базы данных утечек. Пользователям учетной записи Microsoft будет предложено изменить пароль учетной записи. Пока неизвестно, каким образом пользователи будут проинформированы о сбросе или когда пароли будут сброшены.
С системными администраторами связь будет поддерживаться на стороне компании:
Microsoft снизит риски корпоративных пользователей и заранее предупредит системного администратора о планируемом сбросе учетных данных.
Чтобы защитить свои аккаунты от атак и утечек Microsoft рекомендует включить многофакторную аутентификацию. По данным компании, 99,9% атак на учетные записи оказываются безуспешными, если в них используется многофакторная аутентификация.
А вы используете повторяющиеся пароли? Что вы думаете о данном исследовании?
Угрозы безопасности
• Google устранила две уязвимости «нулевого дня» в Android, которые использовались в атаках
• ShadyPanda: Вредоносные расширения для Chrome и Edge установлены более 4,3 млн раз
• Приложение SmartTube для Android TV, для проcмотра YouTube без рекламы, оказалось заражено вредоносным ПО
• Вредоносные ИИ нового поколения: WormGPT 4 и KawaiiGPT уже генерируют рабочие скрипты для кибератак
• Посылка доставлена! Но вы её не заказывали: «Лаборатория Касперского» предупреждает о новых угрозах – брашинге и квишинге
• ASUS предупреждает о новой критической уязвимости обхода аутентификации в роутерах с AiCloud