19.07.2011

И вновь о выборе паролей

О паролях я писал немало и вновь возвращаюсь к этой, казалось бы простой теме. А все после последних взломов со стороны различных хакерских групп. В одном из проведенных исследований замечательно продемонстрировано, что несмотря на наличие классических рекомендаций избегать последовательностей клавиатурных (например, qwerty) или цифровых (например, 123456) комбинаций, пользователям все равно удается изобрести нечто уникальное.

Например, в одной из взломанных военных систем самыми распространенными были следующие пароли:
  • !QAZ2WSX
  • 1QAZ!QAZ
  • 1QAZ@WSX
  • ZAQ!2WSX
  • 1QAZ!QAZ2WSX@WSX
  • 1QAZZAQ!
Казалось бы, что в них уязвимого или странного? Присутствуют почти все признаки хорошего пароля - буквы, цифры и спецсимволы (регистр только один - верхний). Но если присмотреться к стандартной раскладке клавиатуры, то картина не такая радужная - та же последовательность близлежащих клавиш:

Хакеры тоже не дремлют и на их форумах эта особенность выбора пользователями паролей тоже подмечена:


Какой урок может быть извлечен из этого? Он прост - включить в парольную политику требования избегать ЛЮБЫХ клавиатурных последовательностей близлежащих клавиш - не только по горизонтали, но и по вертикали и по диагонали.

9 коммент.:

Шауро Евгений комментирует...

На программном уровне это уже пора реализовывать в виде пункта политики и в АД и не в АД.

doom комментирует...

А весь юмор в том, что запредельное усложнение парольной политики (помимо недовольства пользователей) еще и снижает энтропию пароля - т.е. теоретически, слишком перегнув палку, можно упростить задачу злоумышленника.

Алексей Лукацкий комментирует...

doom: Именно. Я раньше писал про исследование оценки энтропии паролей в зависимости от ряда факторов - длина, регистры и т.д.

smidte комментирует...

doom и Алексей Лукацкий поясните, пожалуйста, каким образом энтропия пароля (т.е. присутствие в пароле различных символов и т.п.) помогает злоумышленникам.

doom комментирует...

Если говорить грубо и гуманитарно, то энтропия - мера хаоса, чем больше порядка (правил), тем меньше хаоса (т.е. энтропия ниже).

Более формальный пример - пусть пароль это числовая последовательность. Если правил нет, то вероятность встретить на какой-то позиции заранее определенный символ - 1/10.

А если теперь ввести правило, что обязательно чередование четных и нечетных цифр, то вероятность появления символа становится 1/5 и энтропия будет ниже (точно считать лень, если честно).

Или вырожденный пример - пусть пароль состоит только из нулей и единиц. Для паролей длины n будет существовать 2^n вариантов этих паролей. А теперь введем правило - одинаковые цифры не могут идти друг за другом. Сколько осталось возможных паролей? Всего 2 (!)

Boogeyman комментирует...

doom, Алексей:
Не согласен с вами, что на практике это будет иметь значение, тем более, что негативный эффект перевесит позитивный. Даже не представляю какие надо ограничения на пароль ввести, чтобы это снизило энтропию до опасных пределов.
Тоже покажу на грубом примере:
в случае без ограничений у нас имеется 62^8 комбинаций, после введения ограничений на простые комбинации их осталось, допустим, 60^8 (убрали 50 триллионов паролей). Ограничения практически не повлияли на стойкость пароля, зато мы отсекли очень нежелательные комбинации типа Qazqaz123, ZXC123zxc и т.п.

Boogeyman комментирует...

doom, Алексей:
Не согласен с вами, что на практике это будет иметь значение, тем более, что негативный эффект перевесит позитивный. Даже не представляю какие надо ограничения на пароль ввести, чтобы это снизило энтропию до опасных пределов.
Тоже покажу на грубом примере:
в случае без ограничений у нас имеется 62^8 комбинаций, после введения ограничений на простые комбинации их осталось, допустим, 60^8 (убрали 50 триллионов паролей). Ограничения практически не повлияли на стойкость пароля, зато мы отсекли очень нежелательные комбинации типа Qazqaz123, ZXC123zxc и т.п.

Boogeyman комментирует...

doom, Алексей:
Не согласен с вами, что на практике это будет иметь значение, тем более, что негативный эффект перевесит позитивный. Даже не представляю какие надо ограничения на пароль ввести, чтобы это снизило энтропию до опасных пределов.
Тоже покажу на грубом примере:
в случае без ограничений у нас имеется 62^8 комбинаций, после введения ограничений на простые комбинации их осталось, допустим, 60^8 (убрали 50 триллионов паролей). Ограничения практически не повлияли на стойкость пароля, зато мы отсекли очень нежелательные комбинации типа Qazqaz123, ZXC123zxc и т.п.

vladimir1972 комментирует...

Клавиатура с усилителем паролей решает эту проблему