Специалисты BI.ZONE TDR проанализировали данные более чем 150 организаций и выявили ключевые ошибки конфигурации, связанные с парольной политикой.

В некоторых компаниях в парольную политику может входить требование о регулярной смене пароля. В таком случае мисконфигурацией будет считаться слишком длинный срок действия пароля, в том числе установка опции PasswordNeverExpires («никогда не истекает»), особенно для сервисных и привилегированных аккаунтов. По данным BI.ZONE TDR, в 34% организаций обнаружено более 1000 учетных записей (УЗ) с этим атрибутом и лишь в 8% — менее 50. Это приводит к тому, что пароли не меняются годами, а иногда и десятилетиями. В среднем 22% УЗ в домене имеют этот атрибут. При этом, хотя большинство паролей обновляется в течение трех месяцев, 19% аккаунтов имеют пароли старше одного года, а почти 2% аккаунтов используют пароли старше 10 лет.

Слабые пароли также остаются в списке популярных ошибок конфигурации. Для 2% локальных УЗ применяются легко подбираемые комбинации, а для доменных этот показатель достигает в среднем 5%. Кроме того, статистика BI.ZONE Digital Risk Protection показывает, что каждая 15‑я корпоративная УЗ хотя бы один раз оказывалась в утечках. В сочетании с недостатками парольной политики (отсутствие требований к длине, сложности, уникальности) это формирует ситуацию, когда базовые механизмы защиты могут быть скомпрометированы с минимальными усилиями.

Несмотря на развитие политик безопасности и существующие стандарты (CIS, Microsoft Baseline, NIST), в корпоративных сетях до сих пор встречаются короткие комбинации с минимальной сложностью (123456, Qwerty123, 1qaz@WSX), сезонные вариации (Summer2024, Password2025) и личные или связанные с компанией данные: даты рождения, телефонные номера, названия организаций (например, CompanySun1!).

Подобные пароли используются в доменных и локальных УЗ, включая привилегированные аккаунты администраторов и сервисные УЗ. Даже если формально пароль соответствует минимальным требованиям, он может быть скомпрометирован за считаные минуты с помощью атак password spraying или словарного перебора.

«Требования к паролям во многих случаях устарели. Например, минимальная длина в 8 символов уже не обеспечивает достаточного уровня защиты. В 2026 году базовым ориентиром становится длина не менее 12–14 символов в сочетании с использованием различных типов символов. Без внедрения современных политик и проверки на наличие пароля в утекших базах пользователи продолжают выбирать комбинации, которые легко взламываются. Таким образом, компрометация учетных данных остается одним из самых простых сценариев для злоумышленника.», – Андрей Шаляпин, Руководитель BI.ZONE TDR

Дополнительные риски создают неиспользуемые УЗ. Аккаунты уволенных сотрудников, временных подрядчиков, тестовые и устаревшие сервисные записи могут оставаться активными месяцами и даже годами. По данным BI.ZONE TDR, около 5% доменных УЗ не использовались более трех лет. Такие аккаунты сохраняют доступ к ресурсам, включая критически важные системы, и зачастую имеют слабые неизменяемые пароли. Их существование — следствие отсутствия регулярного аудита, несовершенных процессов деактивации (например, при увольнении) и накопления легаси‑данных в инфраструктуре.

Отдельной проблемой остается повторное использование паролей. По данным BI.ZONE TDR, в среднем около 19% УЗ имеют пароли, совпадающие с паролями других пользователей внутри компании. В одном из случаев этот показатель достигал 43%. Часто это связано с тем, что сотрудники не меняют стандартные пароли после трудоустройства. В результате компрометация одного аккаунта может открыть доступ к значительной части инфраструктуры.

Аналогичная практика встречается и среди привилегированных УЗ. Несмотря на то что для работы с критическими системами обычно создаются отдельные аккаунты, администраторы нередко используют для них те же пароли, что и для пользовательских УЗ. По оценке BI.ZONE PAM, 30–40% привилегированных УЗ используют одинаковые пароли в разных системах. С учетом их широких прав доступа это существенно увеличивает масштаб потенциального ущерба: компрометация одного аккаунта может привести к быстрому распространению атаки внутри инфраструктуры.