Когнитивная психология — часть вторая

Что-то потянуло меня на изучение различных исследований в области ИБ 😉

В среду обсуждали тему когнитивной психологии и числа запоминаемых паролей. В качестве решения проблемы было предложено использовать ассоциативные пароли, создаваемые на основе различных фраз и предложений. Например, из всем известной фразы «Мой дядя самых честных правил» можно составить пароль по первым буквам каждого слова фразы — «мдсчп» или «модясачепр» (по первым двум буквам). В прочитанном мной исследовании приводился такой пример — из фразы «Four score and seven years ago, our Fathers» появился пароль «4s&7ya,oF». Очень неплохой вариант со всех точек зрения… Но так ли это на самом деле?

Специалисты лаборатории CyLab университета Карнеги-Меллона выдвинули гипотезу, что люди будут выбирать публично известные фразы для создания мнемонических (ассоциативных) паролей — из фильмов, музыки, рекламы и т.п. Как следствие, возможно создание словарей таких фраз, облегчающих подбор пароля. Набрали 290 респондентов и попросили их выбрать себе ассоциативный пароль. Затем применили два вида атак — полным перебором и по словарю. Последний создавался путем анализа разных Web-сайтов (было собрано 249000 фраз и цитат).

Что выбирали люди? Чаще всего они использовали для ассоциаций музыку и литературу (примерно по 15%). На третьем месте — фильмы (10%). Четвертое — телешоу. Пятое — известные публичные речи (вроде «Борис, ты не прав» для тех, кто помнит).

А вот дальше было самое интересное — результаты атак 😉 Если атака по словарю для обычных паролей была эффективна в 11% случаев, то для ассоциативных паролей — в 4%. Прямой перебор помог тоже в 4% случаев (для обычных паролей — в 8%). Что мы видим? Ассоциативный метод не очень сильно увеличил защищенность системы аутентификации и не может считаться не то, что панацеей, но и реальным методом повышения уровня безопасности (сложность выше, а эффективность почти такая же). С течением времени этот метод станет только хуже:

  • появятся более эффективные словари фраз, а не сделанные «на коленке» для теста
  • пользователи будут выбирать самые популярные фразы, что равносильно выбору пароля по имени кошки, номеру паспорта и т.п. (вычисляется очень легко)
  • тупик и стресс для пользователя, которого просят не использовать широко известные фразы (он просто ничего другого не вспомнит)
  • популярность метода привлечет к его анализу большее число исследователей.

ЗЫ. Название исследования «Human Selection of Mnemonic Phrase-based Passwords».

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Ригель

    > не очень сильно увеличил защищенность

    Защищенность с которой стороны? Стикеров (и других подобных записулек) при этом меньше становится, по-моему.

    Ответить
  2. Анонимный

    на фразе "тупик и стресс для пользователя" впал в прострацию ))

    Ответить
  3. Unknown

    infotecs давно использует программу для создания ассоциативных паролей. Элементарная программка создающая фразы вроде: "красивый сектоид съел начальника"

    Ответить
  4. Алексей Лукацкий

    Ригелю: Ну у тебя же задача не в уменьшении числа стикеров 😉

    e1am0: И зря. Когда тебе дают волю подумать, а потом внезапно говорят, вот про это не думай 😉 Ты про все забываешь и начинаешь думать только про это 😉

    ccc: Использует. Лет 13-14 назад я ее тестировал даже 😉 Но у нее есть большой минус — это отдельная программа. Пользователю придется ее ставить, чтобы использовать. А это сильно сужает область ее применения.

    Ответить
  5. Ригель

    Алексею:
    Так снижается количество НСД, связанных с прочтением записулек, а ты/CyLab брал только связанные с подломом.

    Ответить
  6. Алексей Лукацкий

    А у тебя действительно проблема со стикерсами в конторе? Или все-таки это надумано? Вот я у нас ни разу не видел стикерсов…

    Ответить
  7. Ригель

    Очень редко и не на видном месте — они ученые.

    Однако ж, мнемотехники позиционируются как способ избежать записывания, поэтому с этой стороны надо и эффект оценивать, казалось бы.

    Ответить
  8. biakus

    Был бы неплох общедоступный и обязательный к использованию в организации сервис генерации парольных фраз с визуализацией образа для лучшего запоминания. Так как запоминается лучше, то что вызывает эмоции. Например: слон остановил автомобиль и картинка 🙂

    Ну и оторвать в приложениях функцию запоминания паролей, которые делают нам медвежью услугу. Ибо повторенье мать ученья 🙂

    Ответить
  9. Анонимный

    Возможно, причина неэффективности этого метода заключается в том, что предлагаемые преобразования
    "линейны". По сути, использование в качестве пароля слова из словаря или набора таких слов (в виде двух первых букв) — есть одно и тоже с точки зрения словарного подбора.

    Для противостояния атакам по словарю в пароль нужно вводить случайность. Вариант с генерацией парольных фраз гораздо эффективнее.

    Осмелюсь предположить, что фраз из четырёх слов (чтобы получить пароль длиной восемь символов), которые может придумать среднестатистический пользователь, даже меньше, чем просто восьмибуквенных слов. А вот запомнить такую искусственную фразу он точно сможет.

    С другой стороны пока этот метод не получил широкого распространения, думаю, им всё же можно рекомендовать пользоваться.

    Например, можно набрать в английской раскладке первые буквы стихотворения "У лукоморья дуб зелёный, златая цепь на дубе том", причём слово "дуб" — заглавными буквами и полностью: ekLE<ppwyln. Полученный 11-символьный пароль запомнить элементарно, а подобрать крайне сложно. Или ещё пример: пароль из 27 символов 69728ooh3f34t73wwj60qww294e — всего лишь фраза "you will never guess my password", набранная с помощью клавиш, расположенных на один ряд выше (y ->6, o ->9, u->7 и т.д.).

    Ответить
  10. malotavr

    Проблема не в том, каким способом генерить хорошо запоминающийся пароль. Таких способов — десятки.

    Проблема в том, чтобы пользователи начали этим пользоваться. А они не хотят этими методами пользоваться/ Се ля ви 🙂

    Ответить
  11. Dmitry Evteev

    "Если атака по словарю для обычных паролей была эффективна в 11% случаев, то для ассоциативных паролей — в 4%."

    Специалисты лаборатории CyLab университета Карнеги-Меллона просто не умеют проводить атаку типа брутфорс…))

    Ответить
  12. Алексей Лукацкий

    Ну да, только в Positive работают профессионалы экстра-класса, а все остальные слабаки 😉

    Ответить
  13. Dmitry Evteev

    Алексей, я этого не говорил! Много существует компаний, предоставляющих услуги высокого уровня по множеству направлений… и профессионалов "экстра-класса" можно встретить не только в Positive:)

    Ответить