Security Lab

Сравнение сложности паролей и пассфраз

Сравнение сложности паролей и пассфраз
Довольно примечательные результаты вычитал сегодня у Росса Андерсона в его Security Engineering 2nd Edition . Оказывается, они там в Кембридже с коллегами проводили исследования на предмет того, какие из вариантов паролей являются более надежными: выдуманные пользователями, сгенерированные случайно, или составленные на основе пассфраз (парольных фраз или passphrases).

Суть эксперимента заключалась в том, что трем группам студентов по 100 человек было дано отдельное задание. Участники первой (красной) группы должны были выдумать пароли, которые подчинялись бы минимальным требованиям сложности: не менее 8 символов, из которых не менее одного не должны быть буквой. Вторая (желтая) группа, должна была составить пароли из первых букв и знаков препинания известной фразы, например "Wyc-swyg" из "What you see is what you get". Третьей же (зеленой) группе выдали случайно сгенерированные пароли, записанные на бумаге, которые участники эксперимента должны были уничтожить, как только запомнят.

В ходе эксперимента проверялись две вещи: насколько хорошо пользователи помнят пароли (это измерялось по количеству обращений в службу поддержки за сбросом пароля) и насколько трудно было подобрать пароль современными инструментами тестирования безопасности. Ожидалось, что в результате эксперимента сложность паролей желтой группы будет выше, чем у красной, а зеленой -- выше, чем у желтой.

Результаты получились несколько неожиданными. В то время, как около 30% паролей красной группы были успешно "взломаны", пароли желтой и зеленой групп удалось подобрать только в 10% случаев. Примечателен тот факт, что эти значения совпали, то есть, можно утверждать, что случайно сгенерированные пароли и сокращенные пассфразы обладают сравнимой безопасностью. Также, забавно то, что на вопрос, было ли им сложно запомнить пароли, желтая группа ожидаемо ответила положительно, а члены красной и зеленой групп сложностей не испытывали. Вдобавок, проценты "сбросов" паролей за время эксперимента между группами существенно не отличались.

Конечно же, нужно помнить о том, что пароли сами по себе являются худшим из возможных средств аутентификации. К тому же, в эксперименте не был учтен процент неподчинения пользователей существующим правилам. Более того, участие в эксперименте студентов вузов, как было в этом случае, накладывает некоторый отпечаток на результаты: все-таки, по многим парламентам, это не самый "равномерный" срез общества :) Тем не менее, из результатов эксперимента можно сделать вывод: пароли, выдуманные пользователями на основании пассфраз, удовлетворяют обоим критериям успеха -- они и достаточно сложны, и легки к запоминанию.
Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Vlad Styran

информационно. безопасно.*