Как стать автором
Обновить

Уникальное исследование базы паролей университета Карнеги-Меллон

Время на прочтение 3 мин
Количество просмотров 37K


Опубликованное недавно исследование базы паролей университета Карнеги-Меллон выявило несколько интересных корреляций между демографическими характеристиками и качеством паролей, которые используют люди. Уникальность этого исследования состоит в том, что все акккаунты, пароли к которым исследовались, принадлежат сотрудникам и студентам университета Карнеги-Меллон. Эти пароли использовались для доступа к весьма важным данным и функциям на университетском сайте, ограничения на длину и сложность пароля при регистрации были довольно строгими. В базе университета хранились подробные персональные данные всех пользователей, а в логах сервера аутентификации — информация о скорости ввода паролей, удачных и неудачных попытках входа. Всего было исследовано около 40 000 паролей от действующих и отключенных аккаунтов

Обычные базы паролей, доступные после утечек со взломанных сайтов, содержат много мусора в виде одноразовых аккаунтов случайных посетителей с паролями вроде «12345» или «password» и наоборот, мало информации о пользователях — обычно только логин или адрес электронной почты.


Как видно на графике выше, самые сильные пароли вполне ожидаемо оказались у сотрудников и студентов факультетов компьютерных и инженерных наук. За ними расположились гуманитарии и художники. Те же, кто посвятил себя изучению политики и бизнеса, оказались наиболее уязвимыми. Вероятность подобрать пароль студента факультета компьютерных наук на 45% ниже, чем пароль студента бизнес-школы. Видимо неспроста антагонизм между сисадминами и бухгалтерами чаще всего становится предметом анекдотов и баек. Ещё одна закономерность — мужчины придумывают пароли на 8% лучше женщин.

Наряду с демографическими и профессиональными факторами, исследованию подверглись и свойства самих паролей. То, что чем длиннее пароль, и чем больше в нём цифр, букв верхнем регистре и спецсимволов — тем лучше, известно всем. Однако теперь стало понятно, насколько именно лучше. Добавление к паролю одной буквы в нижнем регистре снижает вероятность угадывания до 70% (вероятность подбора исходного пароля принята за 100%). Символы и буквы в верхнем регистре дают снижение до 56% и 46% соответственно. Большое значение имеет и расположение символов и цифр в тексте пароля. Верхний регистр в начале пароля не даёт много преимуществ. Цифры и спецсимволы в конце тоже действуют не так хорошо. Лучше всего, если они «размазаны» по паролю. Закономерности хорошо видны на этих диаграммах:



Отдельный интерес представляет методика сбора и обработки информации. Как вообще в руки учёных попала база паролей открытым текстом и персональные данные пользователей? Строго говоря, она не попадала. Исследование проводилось при содействии службы безопасности университета в довольно суровых условиях. Дело в том, что по историческим причинам пароли пользователей университетского сервера хранились не в виде хешей, а в виде зашифрованных записей, причём ключ шифрования хранился в службе безопасности. Учёные договорились о проведении исследования перед тем, как университет перешёл на более современную технологию, с хэшами и солью.

База паролей была расшифрована на отдельном компьютере, не подключённом к сети, физический доступ к которому был лишь у некоторых сотрудников службы безопасности. Пароли хранились только в оперативной памяти, своп был отключён. Учёным приходилось писать скрипты для получения статистических показателей, не видя самих данных. Каждая строчка их кода, так же как и выходных данных проходила тщательную проверку, чтобы удостовериться, что никакие критически важные данные не покинут системы. Отладка скриптов в таком режиме была очень трудной и медленной.

После окончания работы все исходные данные были тщательно уничтожены. Сами статистические показатели были подобраны так, чтобы нельзя было выявить узкую группу пользователей с особенно слабыми паролями, и предпринять в отношении их аккаунтов целенаправленную атаку — именно поэтому в некоторых случаях небольшие группы объединялись в обезличенную категорию «другие».

Теги:
Хабы:
+46
Комментарии 83
Комментарии Комментарии 83

Публикации

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн