RooX UIDM предупредит пользователей о скомпрометированных паролях
22.05.2023
RooX реализовала в системе управления доступом RooX UIDM технологию проверки паролей по базам словарных и утёкших паролей. Это позволит компаниям в банковском секторе, ритейле, e-commerce и других отраслях ещё больше обезопасить аккаунты пользователей.
По данным разных исследований от 50% до 75% пользователей устанавливают простые пароли, а также используют повторяющиеся комбинации логина и пароля на разных сервисах. Как следствие, ежегодно огромное количество взломов становится возможным просто потому, что хакеры автоматизируют перебор известных утекших паролей. Например, берут базу логинов и паролей сервиса доставки и проверяют их на интернет-банке.
Новая функциональность в системе управления аутентификацией и авторизацией RooX UIDM поможет уведомить пользователя о скомпрометированном или слабом пароле и даже запретить его использование в некоторых случаях.
Злоумышленники регулярно выкладывают в открытый доступ базы паролей. Например, в 2021 был выложен файл объемом около 100 ГБ, содержащий 8,4 млрд паролей. Мировое сообщество специалистов по информационной безопасности регулярно проводит мониторинг утечек и добавляет данные из них в специализированные базы. RooX UIDM использует эти базы для проверок паролей. Кроме того, наши клиенты имеют возможность подключать для проверок свои собственные базы «плохих» паролей.
Константин Корсаков
Архитектор систем аутентификации и авторизации компании RooX
В RooX UIDM проверки паролей можно встроить в сценарии регистрации, аутентификации и авторизации пользователей в следующие точки: установка пароля, его восстановление или смена, вход в сервис, выполнение действия, для которого требуется дополнительная авторизация.
Кроме этого есть возможность запустить полномасштабную проверку всей базы пользователей на совпадения со словарями и скомпрометированными данными по запросу (например, после очередной новости об утечке) или по расписанию.
Насколько жесткой будет реакция системы при обнаружении скомпрометированного пароля, определяется настройками. Система может просто уведомить пользователя о том, что пароль перестал быть надёжным, предоставить возможность сразу его сменить или даже запретить выполняемое действие, пока пароль не будет сменен на безопасный.