И вновь о выборе паролей

О паролях я писал немало и вновь возвращаюсь к этой, казалось бы простой теме. А все после последних взломов со стороны различных хакерских групп. В одном из проведенных исследований замечательно продемонстрировано, что несмотря на наличие классических рекомендаций избегать последовательностей клавиатурных (например, qwerty) или цифровых (например, 123456) комбинаций, пользователям все равно удается изобрести нечто уникальное.

Например, в одной из взломанных военных систем самыми распространенными были следующие пароли:

  • !QAZ2WSX
  • 1QAZ!QAZ
  • 1QAZ@WSX
  • ZAQ!2WSX
  • 1QAZ!QAZ2WSX@WSX
  • 1QAZZAQ!

Казалось бы, что в них уязвимого или странного? Присутствуют почти все признаки хорошего пароля — буквы, цифры и спецсимволы (регистр только один — верхний). Но если присмотреться к стандартной раскладке клавиатуры, то картина не такая радужная — та же последовательность близлежащих клавиш:

Хакеры тоже не дремлют и на их форумах эта особенность выбора пользователями паролей тоже подмечена:

Какой урок может быть извлечен из этого? Он прост — включить в парольную политику требования избегать ЛЮБЫХ клавиатурных последовательностей близлежащих клавиш — не только по горизонтали, но и по вертикали и по диагонали.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Евгений III

    На программном уровне это уже пора реализовывать в виде пункта политики и в АД и не в АД.

    Ответить
  2. doom

    А весь юмор в том, что запредельное усложнение парольной политики (помимо недовольства пользователей) еще и снижает энтропию пароля — т.е. теоретически, слишком перегнув палку, можно упростить задачу злоумышленника.

    Ответить
  3. Алексей Лукацкий

    doom: Именно. Я раньше писал про исследование оценки энтропии паролей в зависимости от ряда факторов — длина, регистры и т.д.

    Ответить
  4. smidte

    doom и Алексей Лукацкий поясните, пожалуйста, каким образом энтропия пароля (т.е. присутствие в пароле различных символов и т.п.) помогает злоумышленникам.

    Ответить
  5. doom

    Если говорить грубо и гуманитарно, то энтропия — мера хаоса, чем больше порядка (правил), тем меньше хаоса (т.е. энтропия ниже).

    Более формальный пример — пусть пароль это числовая последовательность. Если правил нет, то вероятность встретить на какой-то позиции заранее определенный символ — 1/10.

    А если теперь ввести правило, что обязательно чередование четных и нечетных цифр, то вероятность появления символа становится 1/5 и энтропия будет ниже (точно считать лень, если честно).

    Или вырожденный пример — пусть пароль состоит только из нулей и единиц. Для паролей длины n будет существовать 2^n вариантов этих паролей. А теперь введем правило — одинаковые цифры не могут идти друг за другом. Сколько осталось возможных паролей? Всего 2 (!)

    Ответить
  6. Игорь

    doom, Алексей:
    Не согласен с вами, что на практике это будет иметь значение, тем более, что негативный эффект перевесит позитивный. Даже не представляю какие надо ограничения на пароль ввести, чтобы это снизило энтропию до опасных пределов.
    Тоже покажу на грубом примере:
    в случае без ограничений у нас имеется 62^8 комбинаций, после введения ограничений на простые комбинации их осталось, допустим, 60^8 (убрали 50 триллионов паролей). Ограничения практически не повлияли на стойкость пароля, зато мы отсекли очень нежелательные комбинации типа Qazqaz123, ZXC123zxc и т.п.

    Ответить
  7. Игорь

    doom, Алексей:
    Не согласен с вами, что на практике это будет иметь значение, тем более, что негативный эффект перевесит позитивный. Даже не представляю какие надо ограничения на пароль ввести, чтобы это снизило энтропию до опасных пределов.
    Тоже покажу на грубом примере:
    в случае без ограничений у нас имеется 62^8 комбинаций, после введения ограничений на простые комбинации их осталось, допустим, 60^8 (убрали 50 триллионов паролей). Ограничения практически не повлияли на стойкость пароля, зато мы отсекли очень нежелательные комбинации типа Qazqaz123, ZXC123zxc и т.п.

    Ответить
  8. Игорь

    doom, Алексей:
    Не согласен с вами, что на практике это будет иметь значение, тем более, что негативный эффект перевесит позитивный. Даже не представляю какие надо ограничения на пароль ввести, чтобы это снизило энтропию до опасных пределов.
    Тоже покажу на грубом примере:
    в случае без ограничений у нас имеется 62^8 комбинаций, после введения ограничений на простые комбинации их осталось, допустим, 60^8 (убрали 50 триллионов паролей). Ограничения практически не повлияли на стойкость пароля, зато мы отсекли очень нежелательные комбинации типа Qazqaz123, ZXC123zxc и т.п.

    Ответить
  9. Анонимный

    Клавиатура с усилителем паролей решает эту проблему

    Ответить