Microsoft предложила альтернативу сложным паролям

    image
    В отделе исследований Майкрософт придумали способ создавать пароли, которые легко запомнить, но при этом система, в которой будет использоваться новый подход не станет более уязвимой для хакеров.
    Вместо того, чтобы использовать по настоящему сложные пароли, которые используются в системах большинства организаций, новая схема проверяет, чтобы один и тот же пароль был не более чем у нескольких пользователей системы одновременно, при этом пропадает необходимость использовать сложные пароли без ущерба для общей безопасности системы.

    Повышение требований сложности паролей, например пароль должен быть не короче 14 символов длинной, содержать как минимум две прописных буквы, две строчных буквы и три символа, мешают взломщикам использовать технику перебора по словарю, когда последовательно перебираются все пароли из заранее составленного словаря типичных сочетаний.

    Без этих ограничений, люди имеют тенденцию выбирать пароли, которые легко запомнить, просто набирать и естественно, легче подобрать. В прошлом году неоднократно сообщалось об утере базы паролей некоторыми социальными сетями. Люди, проанализировавшие списки, сообщают, что большинство из них были тривиальными, такими как последовательности цифр, словарные слова, общеизвестные названия и т.п.

    Требования того, чтобы пароль содержал цифры, символы и смешанный регистр букв, значительно увеличивают число возможных вариантов перебора. При таких условиях восстановление пароля по словарю зачастую неосуществимо, но с другой стороны такие сложные пароли трудно запомнить. Круг замкнулся.

    Один из способов, с помощью которого проектировщики систем пытаются бороться с перебором по словарю – это временное отключение учетной записи, после нескольких попыток ввести неверный пароль. Это называют блокировкой учетной записи и не удивительно, что взломщики обнаружили простой способ обойти эту систему. Вместо того, чтобы перебирать тысячи или миллионы паролей для одной учетной записи, атакующая сторона пробует входить в систему с помощью нескольких наиболее распространенных паролей, но уже на тысячах и даже миллионах учетных записей пользователей.

    Новая схема, предложенная Майкрософт предполагает отмену требований сложности пароля, при этом защищает учетные записи от взлома с помощью перебора. Система просто считает сколько раз пользователи используют один и тот же пароль, и когда несколько человек начинают использовать одинаковый пароль, такой пароль блокируется и больше никто не может его использовать в данной системе. Схема работает в системах с большим количеством пользователей, например в почтовых системах.

    Этот подход описан в работе, написанной исследователями Стюартом Шетчером и Кормаком Херли из Майкрософт, и будет опубликован в сборнике статей и представлен на августовской конференции по безопасности в Вашингтоне.

    Так как паролям не дают стать распространенными, атакующая сторона лишается возможности использовать популярные пароли для попытки взлома существенной части пользовательских аккаунтов.
    Однако пока не сообщается о планах по внедрению новой схемы в каких-то продуктах Майкрософт. А публикуется схема для того, чтобы получить обратную связь от специалистов по безопасности со всего мира.

    В последние несколько лет исследователи находят недостатки в существующих системах безопасности. Например, довольно часто учетная запись блокируется, когда человек вводит свой пароль с ошибкой несколько раз. В основном число попыток равно трем. Но исследования показали, что увеличение этого числа до десяти резко сокращает число заблокированных легитимных пользователей без особого ущерба для безопасности системы в целом.

    Зачастую, в погоне за удобством и простотой использования своих сервисов многие организации, включая банки, используют относительно примитивные требования к паролям. И новая система сможет помирить специалистов по безопасности, настаивающих на использовании сложных паролей и тех, кто заботится об удобстве пользователей при входе в систему.

    По информации: Technology Review, Microsoft Research

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 31

      +1
      Слушайте, а как красиво можно пополнять словарь для брутфорса
        0
        Парсить stdout?
          –2
          Вводимый пароль не обязан быть правильным. Просто любой пароль, введенный N раз (вне зависимости от правильности или от учетной записи), считается убитым.
            +3
            я так понял, не N раз, а N-ым количеством пользователей. Если, например, пароль ytrewq ввели 10 человек, то 11 не сможет его использовать. Как-то так.
              –1
              Идея в том, чтобы запретить «похожие» пароли. Похожесть может вычисляться разными способами: расстоянием Левенштейна, Хэмминга, etc.

              Поэтому одинакового или похожего пароля не будет ни у одной пары пользователей. Разумеется, тогда ввод одного и того же пароля несколько раз для одного или многих пользователей и будет означать атаку.
                +1
                Да, новость — в стиле 1-апрельской шутки. Т.е. легко найти хотя бы 1 популярный пароль, при котором происходит отказ при попытке регистрации, чтобы затем перепробовать его на всех остальных пользователях и найти тех самых N, которые его используют.
                  0
                  1. Для начала нужно иметь список всех пользователей.
                  2. Разумеется, в схему входит блокирование попыток многократного входа под разными логинами с одним паролем.
                  3. Да, это можно делать с разных компьютеров и т.д. Но это уже значительно увеличивает усилия взломщика.
                  –1
                  все 11 не смогут
                    0
                    а что произойдет? Их принудят сменить пароль? Глупость. Предложенный метод призван не допустить массовых популярных паролей на ресурсе. Скажем, если при аудитории 100К одинаковый простой пароль выберут всего 1% — это уже 1000 человек, а если взглянуть на сервисы типа фейсбука, то это 5М пользователей с одинаковым паролем. С применением сабжевого метода — 10 пользователей. Ну и хрен с ними, как говорится, не будет таких массовых угонов, как сейчас.
              +7
              и начнется беда как с логинами: «Данный логин занят». Зачастую простой пароль выбирается обдуманно, когда перспектива потерять аккаунт не пугает.
                +13
                «Этот пароль уже использует пользователь Миша. Пожалуйста используйте другой пароль.» (с) Bash
                  +1
                  Да, действительно, если система отказывается принимать какой-либо пароль, значит он точно используется кем-то другим. По-моему, это все-таки баг, а не фича. :)
                    0
                    Во-первых, нет. В описанной схеме используется такая структура данных, что есть вероятность получить ответ «пароль используется», даже если это не так. А во-вторых, это, конечно, не фича, но и не баг.
                • UFO just landed and posted this here
                    –1
                    В прошлом году неоднократно сообщалось об утере базы паролей некоторыми социальными сетями.

                    Можно пример? Что-то мне не верится, что какая-то серьезная социальная сеть хранит пароли в открытом виде.
                      –1
                      это не проблема, есть база хешей, из такой базы паролей можно найти пользователей, хэши паролей которых известны, и их будет ооочень много…
                      0
                      Тот же вконтакте до недавних пор хранил пароль в открытом виде — при запросе восстановления, пароль приходил на почту.
                        0
                        Часто всплывают базы, похищенные фишингом.
                        От контакта в прошлом году всплывало 2 базы, собранные таким образом. Например вот и вот
                        0
                        новая схема проверяет, чтобы один и тот же пароль был не более чем у нескольких пользователей системы одновременно, при этом пропадает необходимость использовать сложные пароли без ущерба для общей безопасности системы.
                        Это как из первого следует второе? Если у меня будет пароль god и его больше ни у кого не будет, меня что, не смогут взломать?
                          0
                          Смысл в том, что если пароль god будет у десяти пользователей, то система не разрешит им пользоваться никому. То есть определяются популярные пароли и запрещаются к использованию.
                            +1
                            homm имел ввиду, что если поставить простой пароль, который больше никто не использует — безопасность не улучшится.

                            Имеет смысл комбинировать — оставлять старые проверки на сложность самого пароля, и новые — на непопулярность. Хотя я пока тоже не вижу особого улучшения в этом нововведении.
                              0
                              Почему не улушится? Никто не говорит об отмене 10 попыток на перебор — соответственно, взломщики смогут использовать базу лишь из 10 слов, что даст им возможность взломать всего пару десятков аккаунтов (т.к. лишь у пары десятков пользователей будут эти пароли, остальным система запретит их использовать и придется придумывать пароли похитрее), но никак не тысячи или миллионы.
                            0
                            Вас — смогут. Но так как ни у кого больше такого пароля не будет, то остальных взломать станет чуть сложнее (наверное).
                              +1
                              Ну как же! Пресс релиз утверждает, что я смогу пользоваться простыми легко запоминающимися паролями и меня не сломают.
                                0
                                Видимо, вся загвоздка в том, что сложно будет выбрать такой простой легко запоминающийся пароль.
                              0
                              для общей безопасности системы

                              Если Ваш аккаунт взломают, но только его, то от безопасности системы в целом не сильно убудет.
                              +1
                              Угу и на всех более менее популярных сервисах пользователям все равно придется придумывать сложные пароли, потому что все простые будут уже заняты, а сложные пароли трудно запомнить. Как там в статье было? Круг замкнулся?
                                0
                                Только что подумал, что всё равно это будет ухудшение и безопасности, и удобства.
                                В стандартной схеме у всех людей длинные сложные пароли, но некоторые простые и одинаковые (например, AaBbCc123!@#). В предложенной МС схеме у некоторых людей будут совсем простые пароли, у некоторых — чуть сложнее, а остальные будут ломать себе головы над выбором нового длинного сложного пароля, которого, к тому же, ни у кого ещё и нет.
                                По понятной причине пароли проще будут у тех пользователей, кто менял их (или регистрировался) раньше, и, если как-нибудь отследить эту информацию, то можно выделить множество аккаунтов с, вероятно, простыми паролями. А остальные будут плеваться и выдумывать себе пароли по полдня.
                                  0
                                  никто не знает почему когд набираешь пароль символы анонимизируются? ))
                                  хотя бы сделали эту фичу опциальной.

                                  У меня на работе нужно аж 6 паролей вводить
                                  как мне уже надоели все они)
                                    0
                                    То что парольная защита является анахронизмом никого не волнует?

                                    Only users with full accounts can post comments. Log in, please.