password security

Фінансова компанія розгорнула щорічне оновлення політики паролів. Мінімум 12 символів, одна велика літера, одна цифра, один спеціальний символ. Працівники виконали. Безпека відчувалась добре. Потім red team через три місяці виявив, що 38% працівників обрали варіації “Company2026!” і що майже половина повторно використовувала корпоративний пароль на особистих сервісах.

Політику формально виконали. Поведінку, яку вона мала створити, ніколи не виникла.

Цей патерн повторюється в усіх галузях. Організації інвестують у правила паролів та чек-листи відповідності, а потім дивуються, чому атаки на основі облікових даних продовжують вдаватися. Проблема не в тому, що працівникам бракує обізнаності. Більшість людей знають, що повторне використання паролів ризиковане. Проблема в тому, що знання ризиковості чогось автоматично не створює альтернативної поведінки.

У січні 2024 року команда безпеки SaaS-компанії середнього розміру помітила щось дивне. За один вихідний їхні журнали автентифікації показали 340 000 невдалих спроб входу на порталах для співробітників та клієнтів. Спроби надходили з тисяч IP-адрес, що ротувалися кожні кілька запитів. Сховані в шумі: 47 успішних входів.

Жоден з цих 47 акаунтів не був зламаний брутфорсом. Зловмисники вже мали правильні паролі. Вони купили партію вкрадених облікових даних з витоку 2023 року неповʼязаного сервісу, і 47 співробітників використовували ту саму комбінацію електронної пошти та пароля для обох.

Це credential stuffing. Не витончений експлойт. Не zero-day. Просто ставка на те, що люди повторно використовують паролі, і ця ставка окупається приблизно в 0,1%-2% випадків. У масштабі цього достатньо.