Исследование: регулярный сброс паролей не особо безопасен

Исследование Forrester демонстрирует, что каждая операция по сбросу пароля обходится примерно в $70. В результате многие организации внедрили инструменты самостоятельного сброса паролей (SSPR) для снижения нагрузки. Тем не менее, несмотря на эти инструменты, команды службы поддержки по-прежнему обрабатывают значительное количество заявок, что создаёт лазейки для злоумышленников.

Так, они могут убедить агента сбросить пароль, чтобы обойти многофакторную аутентификацию (MFA) и получить прямой доступ к учётной записи. В качестве примера исследователи приводят атаку на британского ретейлера Marks & Spencer (M&S), которая в апреле 2025 года нарушила работу по всей стране, что привело к 5-дневной приостановке онлайн-продаж, а ущерб составлял $5,1 млн ежедневно.

Предполагается, что злоумышленники, связанные с хакерской группой Scattered Spider, получили первоначальный доступ, выдав себя за сотрудника M&S и связавшись со службой поддержки сторонней компании. Они смогли сбросить пароль, что позволило получить доступ к учётным данным.

Затем злоумышленники использовали уязвимость Active Directory для извлечения файла NTDS.dit, базы данных, хранящей хэши паролей всех пользователей домена. Scattered Spider смогли взломать эти хэши в автономном режиме и восстановить дополнительные учётные данные. Имея эти данные и повышая привилегии, злоумышленники, используя стандартные инструменты и обычную активность входа в систему, расширяли доступ на протяжении нескольких недель. В итоге они развернули программу-вымогатель, зашифровав системы, поддерживающие платежи, электронную коммерцию и логистику. M&S была вынуждена отключить сервисы, что нарушило работу и транзакции клиентов.

Решения, такие как Specops Secure Service Desk, позволяют командам службы поддержки подтверждать личность пользователя до начала сброса. Вместо того чтобы полагаться на информацию от источника, агенты могут отправить одноразовый код на доверенное устройство или применять существующих поставщиков идентификации, таких как Duo или Okta. Каждый запрос проходит одни и те же шаги. Это означает, что злоумышленники не могут использовать те же тактики, что и в случае с M&S. 

Для организаций, которые уже используют такое решение, как Specops Secure Service Desk, выпустили следующие рекомендации:

• поощрять самообслуживание, где это возможно. Если уже есть подход для самостоятельного сброса паролей, то следует сосредоточиться на его внедрении;

• использовать безопасные временные учётные информация. Передача временного пароля по голосовому вызову или по незашифрованной электронной почте создаёт возможность для перехвата;

• вести мониторинг активности сброса паролей. Отслеживание того, как и когда происходят сбросы, может выявить как риски безопасности, так и пробелы в процессах, а тревогу должны вызвать частые сбросы, повторные запросы в службу поддержки или проблемы пользователей с самообслуживанием;

• провести обучение службы поддержки. Её сотрудникам необходимы инструменты и чёткие инструкции.

Между тем эксперты «Лаборатории Касперского» представили аналитика крупнейших утечек паролей в мире, которые произошли с 2023 по 2025 годы. Большинство таких паролей были ненадёжными и не менялись долгое время. Так, в комбинациях часто встречаются информация, которые можно узнать методом подбора: цифры, даты и личные информация. Каждая десятая содержала число, похожее на дату (от «1990» до «2025»), а каждая двухсотая — заканчивалась на «2024».