Управление паролями в крупных компаниях часто не соответствует рекомендациям Microsoft или CIS, что делает компрометацию учетных данных одним из самых доступных и быстрых способов проникновения в корпоративные сети. Эксперты BI.Zone TDR проанализировали данные более чем 150 организаций и выявили основные ошибки в конфигурации, связанные с политикой паролей. В некоторых компаниях политика паролей может требовать регулярной смены паролей, но при этом допускаются слишком длинные сроки их действия, включая опцию PasswordNeverExpires («никогда не истекает»), особенно для сервисных и привилегированных аккаунтов. По данным BI.Zone TDR, в 34% организаций найдено более 1000 учетных записей с этим атрибутом, тогда как в 8% — менее 50. Это приводит к тому, что пароли не меняются годами, а иногда и десятилетиями. В среднем 22% учетных записей в домене имеют этот атрибут. Хотя большинство паролей обновляется в течение трех месяцев, 19% аккаунтов имеют пароли старше одного года, а почти 2% — старше 10 лет.
Слабые пароли также остаются одной из распространенных ошибок конфигурации. Для 2% локальных учетных записей применяются легко подбираемые комбинации, а для доменных этот показатель в среднем составляет 5%. Статистика BI.Zone Digital Risk Protection показывает, что каждая 15-я корпоративная учетная запись хотя бы раз попадала в утечки. В сочетании с недостатками в политике паролей (отсутствие требований к длине, сложности, уникальности) это создает ситуацию, когда базовые механизмы защиты могут быть скомпрометированы с минимальными усилиями. Несмотря на развитие политик безопасности и существующие стандарты (CIS, Microsoft Baseline, NIST), в корпоративных сетях до сих пор встречаются короткие комбинации с минимальной сложностью (123456, Qwerty123, 1qaz@WSX), сезонные вариации (Summer2024, Password2025) и личные или связанные с компанией данные: даты рождения, телефонные номера, названия организаций (например, CompanySun1!). Такие пароли используются в доменных и локальных учетных записях, включая привилегированные аккаунты администраторов и сервисные учетные записи.
Андрей Шаляпин, руководитель BI.Zone TDR, отметил, что требования к паролям во многих случаях устарели. Например, минимальная длина в 8 символов уже не обеспечивает достаточной защиты. В 2026 году базовым ориентиром станет длина не менее 12–14 символов в сочетании с использованием различных типов символов. Без внедрения современных политик и проверки на наличие пароля в утекших базах пользователи продолжают выбирать комбинации, которые легко взламываются. Таким образом, компрометация учетных данных остается одним из самых простых сценариев для злоумышленников.
Дополнительные риски создают неиспользуемые учетные записи. Аккаунты уволенных сотрудников, временных подрядчиков, тестовые и устаревшие сервисные записи могут оставаться активными месяцами и даже годами. По данным BI.Zone TDR, около 5% доменных учетных записей не использовались более трех лет. Такие аккаунты сохраняют доступ к ресурсам, включая критически важные системы, и зачастую имеют слабые неизменяемые пароли. Их существование — следствие отсутствия регулярного аудита, несовершенных процессов деактивации (например, при увольнении) и накопления легаси-данных в инфраструктуре. Повторное использование паролей также является проблемой. По данным BI.Zone TDR, в среднем около 19% учетных записей имеют пароли, совпадающие с паролями других пользователей внутри компании. В одном из случаев этот показатель достигал 43%. Часто это связано с тем, что сотрудники не меняют стандартные пароли после трудоустройства. В результате компрометация одного аккаунта может открыть доступ к значительной части инфраструктуры. Аналогичная практика встречается и среди привилегированных учетных записей. Несмотря на то что для работы с критическими системами обычно создаются отдельные аккаунты, администраторы нередко используют для них те же пароли, что и для пользовательских учетных записей. По оценке BI.Zone PAM, 30–40% привилегированных учетных записей используют одинаковые пароли в разных системах. С учетом их широких прав доступа это существенно увеличивает масштаб потенциального ущерба: компрометация одного аккаунта может привести к быстрому распространению атаки внутри инфраструктуры.