Что-то потянуло меня на изучение различных исследований в области ИБ 😉
В среду обсуждали тему когнитивной психологии и числа запоминаемых паролей. В качестве решения проблемы было предложено использовать ассоциативные пароли, создаваемые на основе различных фраз и предложений. Например, из всем известной фразы «Мой дядя самых честных правил» можно составить пароль по первым буквам каждого слова фразы — «мдсчп» или «модясачепр» (по первым двум буквам). В прочитанном мной исследовании приводился такой пример — из фразы «Four score and seven years ago, our Fathers» появился пароль «4s&7ya,oF». Очень неплохой вариант со всех точек зрения… Но так ли это на самом деле?
Специалисты лаборатории CyLab университета Карнеги-Меллона выдвинули гипотезу, что люди будут выбирать публично известные фразы для создания мнемонических (ассоциативных) паролей — из фильмов, музыки, рекламы и т.п. Как следствие, возможно создание словарей таких фраз, облегчающих подбор пароля. Набрали 290 респондентов и попросили их выбрать себе ассоциативный пароль. Затем применили два вида атак — полным перебором и по словарю. Последний создавался путем анализа разных Web-сайтов (было собрано 249000 фраз и цитат).
Что выбирали люди? Чаще всего они использовали для ассоциаций музыку и литературу (примерно по 15%). На третьем месте — фильмы (10%). Четвертое — телешоу. Пятое — известные публичные речи (вроде «Борис, ты не прав» для тех, кто помнит).
А вот дальше было самое интересное — результаты атак 😉 Если атака по словарю для обычных паролей была эффективна в 11% случаев, то для ассоциативных паролей — в 4%. Прямой перебор помог тоже в 4% случаев (для обычных паролей — в 8%). Что мы видим? Ассоциативный метод не очень сильно увеличил защищенность системы аутентификации и не может считаться не то, что панацеей, но и реальным методом повышения уровня безопасности (сложность выше, а эффективность почти такая же). С течением времени этот метод станет только хуже:
- появятся более эффективные словари фраз, а не сделанные «на коленке» для теста
- пользователи будут выбирать самые популярные фразы, что равносильно выбору пароля по имени кошки, номеру паспорта и т.п. (вычисляется очень легко)
- тупик и стресс для пользователя, которого просят не использовать широко известные фразы (он просто ничего другого не вспомнит)
- популярность метода привлечет к его анализу большее число исследователей.
ЗЫ. Название исследования «Human Selection of Mnemonic Phrase-based Passwords».
> не очень сильно увеличил защищенность
Защищенность с которой стороны? Стикеров (и других подобных записулек) при этом меньше становится, по-моему.
на фразе "тупик и стресс для пользователя" впал в прострацию ))
infotecs давно использует программу для создания ассоциативных паролей. Элементарная программка создающая фразы вроде: "красивый сектоид съел начальника"
Ригелю: Ну у тебя же задача не в уменьшении числа стикеров 😉
e1am0: И зря. Когда тебе дают волю подумать, а потом внезапно говорят, вот про это не думай 😉 Ты про все забываешь и начинаешь думать только про это 😉
ccc: Использует. Лет 13-14 назад я ее тестировал даже 😉 Но у нее есть большой минус — это отдельная программа. Пользователю придется ее ставить, чтобы использовать. А это сильно сужает область ее применения.
Алексею:
Так снижается количество НСД, связанных с прочтением записулек, а ты/CyLab брал только связанные с подломом.
А у тебя действительно проблема со стикерсами в конторе? Или все-таки это надумано? Вот я у нас ни разу не видел стикерсов…
Очень редко и не на видном месте — они ученые.
Однако ж, мнемотехники позиционируются как способ избежать записывания, поэтому с этой стороны надо и эффект оценивать, казалось бы.
Был бы неплох общедоступный и обязательный к использованию в организации сервис генерации парольных фраз с визуализацией образа для лучшего запоминания. Так как запоминается лучше, то что вызывает эмоции. Например: слон остановил автомобиль и картинка 🙂
Ну и оторвать в приложениях функцию запоминания паролей, которые делают нам медвежью услугу. Ибо повторенье мать ученья 🙂
Возможно, причина неэффективности этого метода заключается в том, что предлагаемые преобразования
"линейны". По сути, использование в качестве пароля слова из словаря или набора таких слов (в виде двух первых букв) — есть одно и тоже с точки зрения словарного подбора.
Для противостояния атакам по словарю в пароль нужно вводить случайность. Вариант с генерацией парольных фраз гораздо эффективнее.
Осмелюсь предположить, что фраз из четырёх слов (чтобы получить пароль длиной восемь символов), которые может придумать среднестатистический пользователь, даже меньше, чем просто восьмибуквенных слов. А вот запомнить такую искусственную фразу он точно сможет.
С другой стороны пока этот метод не получил широкого распространения, думаю, им всё же можно рекомендовать пользоваться.
Например, можно набрать в английской раскладке первые буквы стихотворения "У лукоморья дуб зелёный, златая цепь на дубе том", причём слово "дуб" — заглавными буквами и полностью: ekLE<ppwyln. Полученный 11-символьный пароль запомнить элементарно, а подобрать крайне сложно. Или ещё пример: пароль из 27 символов 69728ooh3f34t73wwj60qww294e — всего лишь фраза "you will never guess my password", набранная с помощью клавиш, расположенных на один ряд выше (y ->6, o ->9, u->7 и т.д.).
Проблема не в том, каким способом генерить хорошо запоминающийся пароль. Таких способов — десятки.
Проблема в том, чтобы пользователи начали этим пользоваться. А они не хотят этими методами пользоваться/ Се ля ви 🙂
"Если атака по словарю для обычных паролей была эффективна в 11% случаев, то для ассоциативных паролей — в 4%."
Специалисты лаборатории CyLab университета Карнеги-Меллона просто не умеют проводить атаку типа брутфорс…))
Ну да, только в Positive работают профессионалы экстра-класса, а все остальные слабаки 😉
Алексей, я этого не говорил! Много существует компаний, предоставляющих услуги высокого уровня по множеству направлений… и профессионалов "экстра-класса" можно встретить не только в Positive:)