В отделе исследований Майкрософт придумали способ создавать пароли, которые легко запомнить, но при этом система, в которой будет использоваться новый подход не станет более уязвимой для хакеров.
Вместо того, чтобы использовать по настоящему сложные пароли, которые используются в системах большинства организаций, новая схема проверяет, чтобы один и тот же пароль был не более чем у нескольких пользователей системы одновременно, при этом пропадает необходимость использовать сложные пароли без ущерба для общей безопасности системы.
Повышение требований сложности паролей, например пароль должен быть не короче 14 символов длинной, содержать как минимум две прописных буквы, две строчных буквы и три символа, мешают взломщикам использовать технику перебора по словарю, когда последовательно перебираются все пароли из заранее составленного словаря типичных сочетаний.
Без этих ограничений, люди имеют тенденцию выбирать пароли, которые легко запомнить, просто набирать и естественно, легче подобрать. В прошлом году неоднократно сообщалось об утере базы паролей некоторыми социальными сетями. Люди, проанализировавшие списки, сообщают, что большинство из них были тривиальными, такими как последовательности цифр, словарные слова, общеизвестные названия и т.п.
Требования того, чтобы пароль содержал цифры, символы и смешанный регистр букв, значительно увеличивают число возможных вариантов перебора. При таких условиях восстановление пароля по словарю зачастую неосуществимо, но с другой стороны такие сложные пароли трудно запомнить. Круг замкнулся.
Один из способов, с помощью которого проектировщики систем пытаются бороться с перебором по словарю – это временное отключение учетной записи, после нескольких попыток ввести неверный пароль. Это называют блокировкой учетной записи и не удивительно, что взломщики обнаружили простой способ обойти эту систему. Вместо того, чтобы перебирать тысячи или миллионы паролей для одной учетной записи, атакующая сторона пробует входить в систему с помощью нескольких наиболее распространенных паролей, но уже на тысячах и даже миллионах учетных записей пользователей.
Новая схема, предложенная Майкрософт предполагает отмену требований сложности пароля, при этом защищает учетные записи от взлома с помощью перебора. Система просто считает сколько раз пользователи используют один и тот же пароль, и когда несколько человек начинают использовать одинаковый пароль, такой пароль блокируется и больше никто не может его использовать в данной системе. Схема работает в системах с большим количеством пользователей, например в почтовых системах.
Этот подход описан в работе, написанной исследователями Стюартом Шетчером и Кормаком Херли из Майкрософт, и будет опубликован в сборнике статей и представлен на августовской конференции по безопасности в Вашингтоне.
Так как паролям не дают стать распространенными, атакующая сторона лишается возможности использовать популярные пароли для попытки взлома существенной части пользовательских аккаунтов.
Однако пока не сообщается о планах по внедрению новой схемы в каких-то продуктах Майкрософт. А публикуется схема для того, чтобы получить обратную связь от специалистов по безопасности со всего мира.
В последние несколько лет исследователи находят недостатки в существующих системах безопасности. Например, довольно часто учетная запись блокируется, когда человек вводит свой пароль с ошибкой несколько раз. В основном число попыток равно трем. Но исследования показали, что увеличение этого числа до десяти резко сокращает число заблокированных легитимных пользователей без особого ущерба для безопасности системы в целом.
Зачастую, в погоне за удобством и простотой использования своих сервисов многие организации, включая банки, используют относительно примитивные требования к паролям. И новая система сможет помирить специалистов по безопасности, настаивающих на использовании сложных паролей и тех, кто заботится об удобстве пользователей при входе в систему.
По информации: Technology Review, Microsoft Research
