Неграмотность становится залогом хорошего пароля

Исследователь информационной безопасности  Ашвини Рао  (Ashwini Rao) из Университета Карнеги-Меллона, США, представил алгоритм, облегчающий подбор длинных паролей, имеющих грамматический смысл или представляющих собой целые фразы. При этом разработка эксперта применима даже к тем фразам-паролям, которые содержат цифры и символы.

Созданный исследователями алгоритм генерирует возможные пароли путем объединения слов и фраз, имеющихся в различных базах данных скомпрометированных паролей, в грамматически правильные выражения. Для сравнения, если аналогичные программы для подбора паролей используют лишь несколько попыток комбинировать, к примеру, слово «слон» в «слонслон» и «слоннолс», то инструмент Рао сможет подобрать пароль в виде фразы «купи2слона».

Согласно результатам тестирования алгоритма, экспертам удалось подобрать около 10% длинных паролей, исключительно с помощью упора на грамматику. При этом такие известные инструменты, как John the Ripper и Hashcat показали гораздо худший результат. Таким образом, если пароль содержит грамматические ошибки, он становится более стойким к подбору. 

В своем докладе сотрудники университета также отметили, что безопасность паролей снижается из-за постоянной уценки вычислительных мощностей. По приблизительным подсчетам, на сегодняшний день персональный компьютер стоимостью в $3 тысячи (при наличии соответствующего ПО) способен производить порядка 33 миллиардов попыток подбора пароля в секунду.

Отметим также, что более подробный доклад Рао и его коллеги намерены представить в следующем месяце на конференции «Conference on Data and Application Security and Privacy», которая пройдет в США.