Cloudflare: повторне використання скомпрометованих паролів призводить до пульсації ризиків
Однією з найбільших проблем у сфері автентифікації є розрізнення легітимних користувачів і зловмисників. Щоб зрозуміти людську поведінку, Cloudflare зосереджується на успішних спробах входу, оскільки це дає найчіткіше уявлення про активність користувача і реальний ризик для його облікового запису. Їхні дані показують, що приблизно 41% успішних спроб автентифікації пов’язані з витоком облікових даних.
Незважаючи на зростаючу обізнаність про безпеку в інтернеті, значна частина користувачів продовжує повторно використовувати паролі в різних облікових записах. Згідно з нещодавнім дослідженням Forbes, користувачі в середньому повторно використовують свій пароль у чотирьох різних акаунтах. Навіть після великих зломів багато людей не змінюють свої скомпрометовані паролі або продовжують використовувати їхні варіації в різних сервісах. Для таких користувачів питання не в тому, чи скористаються зловмисники їхніми скомпрометованими паролями, а в тому, «коли скористаються».
Коли ми розширюємо аналіз і включаємо в нього трафік, керований ботами, проблема витоку облікових даних стає ще більш помітною. Наші дані показують, що 52% усіх виявлених запитів на автентифікацію містять витоки паролів, знайдені в нашій базі даних, яка налічує понад 15 мільярдів записів, включно з базою даних витоків паролів Have I Been Pwned (HIBP).
Хоча не кожна спроба входу виявляється успішною, величезний обсяг витоку облікових даних в реальному трафіку ілюструє, наскільки поширеним є повторне використання паролів. Багато з цих витоків облікових даних все ще надають дійсний доступ, що підвищує ризик захоплення акаунтів.
Атаки на WordPress
Системи управління контентом (CMS) використовуються для створення вебсайтів і часто покладаються на прості плагіни для автентифікації та входу в систему. Це зручно, але також робить їх частими об’єктами атак на заповнення облікових даних через їх широке розповсюдження. WordPress − дуже популярна система управління контентом з добре відомим форматом сторінки входу користувача. Через це веб-сайти, створені на WordPress, часто стають поширеними цілями для зловмисників.
У нашій мережі на WordPress припадає значна частина запитів на автентифікацію. Це не дивно, враховуючи його частку на ринку. Однак, що привертає увагу, так це тривожна кількість успішних входів з використанням витоку паролів, особливо ботами.
76% спроб входу за витоком паролів на сайтах, створених на WordPress, є успішними. З них 48% успішних входів здійснюються ботами. Це шокуюча цифра, яка вказує на те, що майже половина всіх успішних входів виконується несанкціонованими системами, призначеними для використання викрадених облікових даних. Успішний несанкціонований доступ часто є першим кроком в атаках на захоплення облікових записів (ATO).
Решта 52% успішних входів походять від легальних користувачів, які не є ботами. Цей показник, вищий за середній показник 41% на всіх платформах, підкреслює, наскільки поширеним є повторне використання паролів серед реальних користувачів, що наражає їхні акаунти на значний ризик.
Лише 5% спроб входу з витоком пароля призводять до відмови в доступі. Це низький показник порівняно з успішними спробами входу за допомогою ботів, і він може бути пов’язаний з відсутністю заходів безпеки, таких як обмеження швидкості або багатофакторна автентифікація (MFA). Якби такі заходи були впроваджені, ми б очікували, що частка відхилених спроб була б вищою. Примітно, що 90% цих відхилених запитів були здійснені ботами, що підтверджує думку про те, що хоча деякі заходи безпеки блокують автоматичні входи, багато з них все одно проскакують.
Переважна присутність бот-трафіку в цій категорії вказує на постійні автоматизовані спроби грубого входу.
Решта 19% спроб входу підпадають під інші результати, такі як тайм-аути, незавершені входи або користувачі, які змінили свої паролі, тому вони не вважаються прямими «успіхами» і не реєструються як «відмови».
