Миллионы пользователей Microsoft повторно используют пароли и имена
Предыдущие исследования специалистов по безопасности показали, что пользователи в массе повторно используют пароли и имена одновременно для нескольких служб. Согласно исследованиям 2018 года среди 28,8 млн пользователей, 52 % из них пользовались одинаковыми данными для учетных записей сразу в нескольких службах. В редких случаях пароль был слегка модифицирован. Но то же исследование выявило, что порядка 30 % модифицированных паролей и всех повторно используемых паролей (с измененными логинами) взламывались не дольше, чем за 10 шагов.
На практике компании проверяют сложность пароля на соответствие требованиям защиты данных. Но даже если пароль очень сложный, его невозможно проверить на повторяемость при предоставлении услуг другой компанией. Иначе говоря, пароль может быть скомпрометирован из-за утечек в одном месте и всплыть под аналогичным логином при регистрации в другой компании. Пользователя тоже можно понять. Запомнить и даже просто где-то хранить массу записей с логинами и паролями ― это требует определенной собранности. Проще запомнить один набор данных для регистрации и пользоваться им в разных службах. В Microsoft решили хоть как-то с этим начать бороться.
Исследование Microsoft за первые три месяца текущего года выявило, что повторно пароли и логины используют 44 млн зарегистрированных пользователей тех или иных служб компании. Определить повторное использование паролей компания смогла из около 3 млрд учетных записей из многих открытых и закрытых баз данных, которые содержат информацию об известных утечках.
Столкнувшись со столь вопиющими цифрами, в Microsoft предприняли следующую тактику. Все повторные пароли обычных пользователей были принудительно сброшены. От пользователей не потребовалось ничего другого, как выбрать новый сложный пароль. Для корпоративных клиентов Microsoft разослала предупреждение системным администраторам компаний, которые должны самостоятельно проверить повторное использование логинов и паролей в своих компаниях. Microsoft настоятельно рекомендует использовать уникальный пароль для каждой используемой вами онлайн-службы.