Большинство веб-сайтов, которыми мы пользуемся в наши дни, как правило, оценивают степень безопасности паролей, которые Вы создаете при настройке нового аккаунта, от «слабый» до «сильный». Они также советуют Вам использовать сочетание прописных и заглавных букв вместе с цифрами для создания более безопасного пароля. Впрочем, как бы ни были хороши все эти советы, они не смогут точно сказать Вам, какой должен быть порядок таких сочетаний.

По счастливой случайности, оказалось, что почти каждый из нас склонен ставить заглавные буквы в начале пароля, а цифры – в конце. Такая закономерность была установлена группой экспертов по безопасности, которые работают во французском исследовательском институте Eurecom.

Результаты их исследования, представленные на последней конференции ACM по безопасности компьютеров и коммуникаций в Денвере, показали, что мы не совсем понимаем, что представляет собой безопасный пароль, и это непонимание несет угрозу нашей конфиденциальности.



Программы, традиционно используемые кибер-преступниками для подбора паролей, обрабатывают определенные комбинации паролей до тех пор, пока не найдут подходящего пользователя.

Однако современные методы не основаны на случайных предположениях. Преступники теперь могут обучать программное обеспечение с помощью огромных списков паролей (например, как пароли 130 млн. пользователей Adobe, которые были украдены в 2013 году), что позволяет находить наиболее часто используемые комбинации. Такой метод позволяет им получить более реальный шанс успешного завершения своих атак.

Отталкиваясь от данной предпосылки, эксперты использовали программу (подобно той, что используют преступники) для анализа свыше 10 миллионов паролей. Такая работа была проделана с той целью, чтобы составить список тех паролей, которые преступники могут наиболее просто подобрать.

В отчете описываются некоторые наборы паролей, которые были слиты в интернет в недалеком прошлом и те наборы, которые будут использоваться в эксперименте (Rockyou, содержащий 32 миллиона паролей, слитый в 2009 году; Xato – 10 миллионов паролей, появившихся на сайте Xato.net в феврале этого года).

Также описываются три модели для подбора пароля (или три алгоритма взлома пароля):

1) Использование N-грамм – последовательностей из N элементов. В статье используются 1-грамма, 2-грамма, 3-грамма, 4-грамма.

2) Использование стохастической контекстно-свободной грамматики (PCFGs)

3) Дисконтная модель Катца («Backoff»)


На рисунке показана зависимость вероятности подбора пароля (ось ординат) в процентах от количества попыток (ось абсцисс) в пределах от 2^0 = 1 до 2^80 = 1208925819614629174706176 итераций. Используются три описанные выше модели. Обучение производится по набору Xato, проверка осуществляется на наборе Rockyou. Чем правее и ниже располагается график, тем хуже соответствующая модель в плане быстроты отыскания пароля.


На рисунке выше представлена сравнительная характеристика двух моделей атаки: стохастической контекстно-свободной грамматики (PCFGs) и еще одного метода подбора пароля – атака методом составления списка возможных ключей (Dictionary attack). Для данной модели используются специализированный словарь иностранных слов dic-0294 и так называемый словарь Openwall. Результаты показывают, что эффективность подбора пароля для них ниже чем у PCFGs. Обучающий набор Xato, как словарь для данного метода дает лучшие результаты в плане атаки.


На рисунке сравнительная характеристика модели атаки 1-граммы, 2-граммы, 3-граммы и 4-граммы.


На рисунке выше представлен сравнительный график модели атаки PCFGs для различных обучающих наборов (в т.ч. включающие специализированный словарь Openwall).


На рисунке показан сравнительный график результатов работы модели Катца для различных обучающих наборов: Rockyou и Xato и их же с добавлением стартового символа (стартовый символ — специфическая терминология связанная с моделью Катца).


На рисунке выше результаты атаки с помощью модели Катца при различных размерах обучающего множества. 0,1% от всего обучающего набора Xato, 1%, 10% и весь набор Xato (100%).


На рисунке представлены результаты экспериментов на дисконтной модели Катца для различных значений длины слова в обучающем множестве (верхний график): все пароли, пароли длинной >=8, пароли длинной >=10, пароли длинной >=12 и для различных сочетаний символов в паролях (нижний график): без ограничений; цифры и буквы; строчные, прописные буквы, цифры; буквы, цифры и различные символы.

Результатом такой работы стал «индекс предсказуемости», который они протестировали на других 32 миллионах паролей для подтверждения его эффективности. По данным полученных результатов, наименее распространенные пароли были наиболее безопасными. Это означает, что необходимо создавать длинный пароль, который включает в себя еще и символы, а не только заглавные и прописанные буквы.



Отныне целью пользователей должно стать создание таких паролей, которые вообще не предсказуемы, независимо от того, включают они в себя цифры, прописные или заглавные буквы. Авторы исследования заявили, что пароли следует делать длиннее, при необходимости даже добавляя несколько слов.

Данное исследование должно помочь людям быть более осведомленными по вопросам создания новых безопасных паролей, что поможет им еще лучше защитить свои аккаунты. Хотя, к сожалению, авторы не гарантируют «железный» способ создания полностью безопасных паролей, но уверяют, что описанный ими метод все же является самым безопасным на текущий момент.

С другой стороны, исследователи обращают внимание на то, что технологические компании стали меньше внимания уделять паролям, как средствам доступа к аккаунтам, и что они рассматривают альтернативные средства там, где это возможно. При этом постоянно появляются новые способы расшифровки регистрационных данных, в результате чего они становятся все менее защищенными.