Самой распространенной ошибкой, выявленной при внешнем тестировании на проникновение, оказались пароли, установленные по умолчанию, слабые и легко подбираемые пароли пользовательских учетных записей (например, «admin/admin», «admin/12345» и похожие), а также отсутствие блокировок учетных записей.
Еще одна из часто встречающихся ошибок — хранение учетных данных на общедоступных ресурсах в корпоративной сети или на самих ПК. Например, сотрудники записывают пароли в текстовых файлах. Если в такой ситуации злоумышленник попадает на машину пользователя и находит документ, он получает управление привилегированными учетными записями.
В части организаций выявлены недостатки в парольных политиках для корпоративных учетных записей. В частности, к сотрудникам не предъявляются требования по длине создаваемых паролей и наличию в них спецсимволов (строчных и прописных букв, цифр, знаков). Ряд недостатков связан с частотой смены паролей: такое требование в одних компаниях отсутствует, а в других чрезмерно усилено (например, смена пароля каждый месяц), что провоцирует сотрудников использовать слишком простые сочетания символов и записывать их на ненадежных носителях.
По мнению экспертов компании, решить проблему можно введением двухфакторной аутентификации пользователей. Более доступный вариант — обучение сотрудников основам кибергигиены: объяснение правил создания надежных паролей и их безопасного хранения, в том числе с использованием специальных баз и программ.