14 Марта, 2013

Сравнение сложности паролей и пассфраз

Vlad Styran
Довольно примечательные результаты вычитал сегодня у Росса Андерсона в его Security Engineering 2nd Edition . Оказывается, они там в Кембридже с коллегами проводили исследования на предмет того, какие из вариантов паролей являются более надежными: выдуманные пользователями, сгенерированные случайно, или составленные на основе пассфраз (парольных фраз или passphrases).

Суть эксперимента заключалась в том, что трем группам студентов по 100 человек было дано отдельное задание. Участники первой (красной) группы должны были выдумать пароли, которые подчинялись бы минимальным требованиям сложности: не менее 8 символов, из которых не менее одного не должны быть буквой. Вторая (желтая) группа, должна была составить пароли из первых букв и знаков препинания известной фразы, например "Wyc-swyg" из "What you see is what you get". Третьей же (зеленой) группе выдали случайно сгенерированные пароли, записанные на бумаге, которые участники эксперимента должны были уничтожить, как только запомнят.

В ходе эксперимента проверялись две вещи: насколько хорошо пользователи помнят пароли (это измерялось по количеству обращений в службу поддержки за сбросом пароля) и насколько трудно было подобрать пароль современными инструментами тестирования безопасности. Ожидалось, что в результате эксперимента сложность паролей желтой группы будет выше, чем у красной, а зеленой -- выше, чем у желтой.

Результаты получились несколько неожиданными. В то время, как около 30% паролей красной группы были успешно "взломаны", пароли желтой и зеленой групп удалось подобрать только в 10% случаев. Примечателен тот факт, что эти значения совпали, то есть, можно утверждать, что случайно сгенерированные пароли и сокращенные пассфразы обладают сравнимой безопасностью. Также, забавно то, что на вопрос, было ли им сложно запомнить пароли, желтая группа ожидаемо ответила положительно, а члены красной и зеленой групп сложностей не испытывали. Вдобавок, проценты "сбросов" паролей за время эксперимента между группами существенно не отличались.

Конечно же, нужно помнить о том, что пароли сами по себе являются худшим из возможных средств аутентификации. К тому же, в эксперименте не был учтен процент неподчинения пользователей существующим правилам. Более того, участие в эксперименте студентов вузов, как было в этом случае, накладывает некоторый отпечаток на результаты: все-таки, по многим парламентам, это не самый "равномерный" срез общества :) Тем не менее, из результатов эксперимента можно сделать вывод: пароли, выдуманные пользователями на основании пассфраз, удовлетворяют обоим критериям успеха -- они и достаточно сложны, и легки к запоминанию.
или введите имя

CAPTCHA
14 Марта, 2013
В эксперименте также не было учтено, что можно воспользоваться менеджером паролей, который избавляет от необходимости запоминать сложные криптостойкие пароли. Любое количество любой допустимой владельцем ресурса длины и любой сложности.
0 |
  • Поделиться
  • Ссылка
14 Марта, 2013
Ну вообще-то эксперимент имел отношение к прикладной психологии, а не юзабилити софта. И не факт, что в те годы это было таким распространенным явлением, как сейчас.
0 |
  • Поделиться
  • Ссылка