14.08.2009

Когнитивная психология - часть вторая

Что-то потянуло меня на изучение различных исследований в области ИБ ;-)

В среду обсуждали тему когнитивной психологии и числа запоминаемых паролей. В качестве решения проблемы было предложено использовать ассоциативные пароли, создаваемые на основе различных фраз и предложений. Например, из всем известной фразы "Мой дядя самых честных правил" можно составить пароль по первым буквам каждого слова фразы - "мдсчп" или "модясачепр" (по первым двум буквам). В прочитанном мной исследовании приводился такой пример - из фразы "Four score and seven years ago, our Fathers" появился пароль "4s&7ya,oF". Очень неплохой вариант со всех точек зрения... Но так ли это на самом деле?

Специалисты лаборатории CyLab университета Карнеги-Меллона выдвинули гипотезу, что люди будут выбирать публично известные фразы для создания мнемонических (ассоциативных) паролей - из фильмов, музыки, рекламы и т.п. Как следствие, возможно создание словарей таких фраз, облегчающих подбор пароля. Набрали 290 респондентов и попросили их выбрать себе ассоциативный пароль. Затем применили два вида атак - полным перебором и по словарю. Последний создавался путем анализа разных Web-сайтов (было собрано 249000 фраз и цитат).

Что выбирали люди? Чаще всего они использовали для ассоциаций музыку и литературу (примерно по 15%). На третьем месте - фильмы (10%). Четвертое - телешоу. Пятое - известные публичные речи (вроде "Борис, ты не прав" для тех, кто помнит).

А вот дальше было самое интересное - результаты атак ;-) Если атака по словарю для обычных паролей была эффективна в 11% случаев, то для ассоциативных паролей - в 4%. Прямой перебор помог тоже в 4% случаев (для обычных паролей - в 8%). Что мы видим? Ассоциативный метод не очень сильно увеличил защищенность системы аутентификации и не может считаться не то, что панацеей, но и реальным методом повышения уровня безопасности (сложность выше, а эффективность почти такая же). С течением времени этот метод станет только хуже:
  • появятся более эффективные словари фраз, а не сделанные "на коленке" для теста
  • пользователи будут выбирать самые популярные фразы, что равносильно выбору пароля по имени кошки, номеру паспорта и т.п. (вычисляется очень легко)
  • тупик и стресс для пользователя, которого просят не использовать широко известные фразы (он просто ничего другого не вспомнит)
  • популярность метода привлечет к его анализу большее число исследователей.


ЗЫ. Название исследования "Human Selection of Mnemonic Phrase-based Passwords".

13 коммент.:

Ригель комментирует...

> не очень сильно увеличил защищенность

Защищенность с которой стороны? Стикеров (и других подобных записулек) при этом меньше становится, по-моему.

e1am0 комментирует...

на фразе "тупик и стресс для пользователя" впал в прострацию ))

ссс комментирует...

infotecs давно использует программу для создания ассоциативных паролей. Элементарная программка создающая фразы вроде: "красивый сектоид съел начальника"

Алексей Лукацкий комментирует...

Ригелю: Ну у тебя же задача не в уменьшении числа стикеров ;-)

e1am0: И зря. Когда тебе дают волю подумать, а потом внезапно говорят, вот про это не думай ;-) Ты про все забываешь и начинаешь думать только про это ;-)

ccc: Использует. Лет 13-14 назад я ее тестировал даже ;-) Но у нее есть большой минус - это отдельная программа. Пользователю придется ее ставить, чтобы использовать. А это сильно сужает область ее применения.

Ригель комментирует...

Алексею:
Так снижается количество НСД, связанных с прочтением записулек, а ты/CyLab брал только связанные с подломом.

Алексей Лукацкий комментирует...

А у тебя действительно проблема со стикерсами в конторе? Или все-таки это надумано? Вот я у нас ни разу не видел стикерсов...

Ригель комментирует...

Очень редко и не на видном месте - они ученые.

Однако ж, мнемотехники позиционируются как способ избежать записывания, поэтому с этой стороны надо и эффект оценивать, казалось бы.

biakus комментирует...

Был бы неплох общедоступный и обязательный к использованию в организации сервис генерации парольных фраз с визуализацией образа для лучшего запоминания. Так как запоминается лучше, то что вызывает эмоции. Например: слон остановил автомобиль и картинка :)

Ну и оторвать в приложениях функцию запоминания паролей, которые делают нам медвежью услугу. Ибо повторенье мать ученья :)

Тарас Злонов комментирует...

Возможно, причина неэффективности этого метода заключается в том, что предлагаемые преобразования
"линейны". По сути, использование в качестве пароля слова из словаря или набора таких слов (в виде двух первых букв) - есть одно и тоже с точки зрения словарного подбора.

Для противостояния атакам по словарю в пароль нужно вводить случайность. Вариант с генерацией парольных фраз гораздо эффективнее.

Осмелюсь предположить, что фраз из четырёх слов (чтобы получить пароль длиной восемь символов), которые может придумать среднестатистический пользователь, даже меньше, чем просто восьмибуквенных слов. А вот запомнить такую искусственную фразу он точно сможет.

С другой стороны пока этот метод не получил широкого распространения, думаю, им всё же можно рекомендовать пользоваться.

Например, можно набрать в английской раскладке первые буквы стихотворения "У лукоморья дуб зелёный, златая цепь на дубе том", причём слово "дуб" - заглавными буквами и полностью: ekLE<ppwyln. Полученный 11-символьный пароль запомнить элементарно, а подобрать крайне сложно. Или ещё пример: пароль из 27 символов 69728ooh3f34t73wwj60qww294e - всего лишь фраза "you will never guess my password", набранная с помощью клавиш, расположенных на один ряд выше (y ->6, o ->9, u->7 и т.д.).

malotavr комментирует...

Проблема не в том, каким способом генерить хорошо запоминающийся пароль. Таких способов - десятки.

Проблема в том, чтобы пользователи начали этим пользоваться. А они не хотят этими методами пользоваться/ Се ля ви :)

Dmitry Evteev комментирует...

"Если атака по словарю для обычных паролей была эффективна в 11% случаев, то для ассоциативных паролей - в 4%."

Специалисты лаборатории CyLab университета Карнеги-Меллона просто не умеют проводить атаку типа брутфорс...))

Алексей Лукацкий комментирует...

Ну да, только в Positive работают профессионалы экстра-класса, а все остальные слабаки ;-)

Dmitry Evteev комментирует...

Алексей, я этого не говорил! Много существует компаний, предоставляющих услуги высокого уровня по множеству направлений... и профессионалов "экстра-класса" можно встретить не только в Positive:)