Российские пароли. Всё так плохо?

Российские пароли. Всё так плохо?
Компания Positive Technologies опубликовала результаты своего иследования под названием "Анализ проблем парольной защиты в российских компаниях".
В результате изучения 185 тысяч паролей были получены следующие результаты (цитата):
  • В целом результаты аналогичных исследований, проводимых за рубежом, отличаются от полученных результатов проведенного исследования в отношении используемых паролей российскими пользователями;
  • Наиболее распространенными паролями у российских пользователей являются пароли, состоящие только из цифр, на долю которых приходится приблизительно 53% от числа всех проанализированных паролей;
  • 88% используемых паролей – это пароли, содержащие в себе либо цифры, либо символы английского алфавита в нижнем регистре, либо и то и другое;
  • Используемые пароли российскими пользователями в большинстве случаев не превышают 8-ми символов и лишь единицы используют пароли длиннее 12-ти символов;
  • 74% используемых паролей пользователями в корпоративном секторе не соответствуют требованиям стандарта PCI DSS. (конец цитаты)
В целом исследование интересное, но с вполне предсказуемыми результатами. Немного неясным осталась методика оценки вероятности компроментации пароля в реальных условиях. Автор, к сожалению, не раскрыл своего подхода к этой оценки. В самом общем случае на вероятность взлома пароля конкретной длины для доступа к корпоративному ресурсу помимо прочих факторов влияют:
  • количество разрешённых попыток ввода неправильного пароля;
  • время блокировки учётной записи после превышения такого количества;
  • время реакции администратора на многократные блокировки учётной записи по причине превышения попыток входа с неправильным паролем.
Для всех паролей длиной от 1 до 7 символов указана вероятность компроментации более чем в 50% (от 99.29% для 1-символьного до 63,13% для 7-символьного), что трудно признать соответствующим действительности.

Предлагаю всем желающим, в том числе и специалистам компании Positive Technologies подобрать 8-символьный пароль от почтового ящика ugadaikamoiparol@gmail.com Согласно исследованию вероятность взлома должна быть 41,41%. Проверим? =)

Статья по теме: Я угадаю Ваш пароль

Alt text

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.