В среду обсуждали тему когнитивной психологии и числа запоминаемых паролей. В качестве решения проблемы было предложено использовать ассоциативные пароли, создаваемые на основе различных фраз и предложений. Например, из всем известной фразы "Мой дядя самых честных правил" можно составить пароль по первым буквам каждого слова фразы - "мдсчп" или "модясачепр" (по первым двум буквам). В прочитанном мной исследовании приводился такой пример - из фразы "Four score and seven years ago, our Fathers" появился пароль "4s&7ya,oF". Очень неплохой вариант со всех точек зрения... Но так ли это на самом деле?
Специалисты лаборатории CyLab университета Карнеги-Меллона выдвинули гипотезу, что люди будут выбирать публично известные фразы для создания мнемонических (ассоциативных) паролей - из фильмов, музыки, рекламы и т.п. Как следствие, возможно создание словарей таких фраз, облегчающих подбор пароля. Набрали 290 респондентов и попросили их выбрать себе ассоциативный пароль. Затем применили два вида атак - полным перебором и по словарю. Последний создавался путем анализа разных Web-сайтов (было собрано 249000 фраз и цитат).
Что выбирали люди? Чаще всего они использовали для ассоциаций музыку и литературу (примерно по 15%). На третьем месте - фильмы (10%). Четвертое - телешоу. Пятое - известные публичные речи (вроде "Борис, ты не прав" для тех, кто помнит).
А вот дальше было самое интересное - результаты атак ;-) Если атака по словарю для обычных паролей была эффективна в 11% случаев, то для ассоциативных паролей - в 4%. Прямой перебор помог тоже в 4% случаев (для обычных паролей - в 8%). Что мы видим? Ассоциативный метод не очень сильно увеличил защищенность системы аутентификации и не может считаться не то, что панацеей, но и реальным методом повышения уровня безопасности (сложность выше, а эффективность почти такая же). С течением времени этот метод станет только хуже:
- появятся более эффективные словари фраз, а не сделанные "на коленке" для теста
- пользователи будут выбирать самые популярные фразы, что равносильно выбору пароля по имени кошки, номеру паспорта и т.п. (вычисляется очень легко)
- тупик и стресс для пользователя, которого просят не использовать широко известные фразы (он просто ничего другого не вспомнит)
- популярность метода привлечет к его анализу большее число исследователей.
ЗЫ. Название исследования "Human Selection of Mnemonic Phrase-based Passwords".
13 коммент.:
> не очень сильно увеличил защищенность
Защищенность с которой стороны? Стикеров (и других подобных записулек) при этом меньше становится, по-моему.
на фразе "тупик и стресс для пользователя" впал в прострацию ))
infotecs давно использует программу для создания ассоциативных паролей. Элементарная программка создающая фразы вроде: "красивый сектоид съел начальника"
Ригелю: Ну у тебя же задача не в уменьшении числа стикеров ;-)
e1am0: И зря. Когда тебе дают волю подумать, а потом внезапно говорят, вот про это не думай ;-) Ты про все забываешь и начинаешь думать только про это ;-)
ccc: Использует. Лет 13-14 назад я ее тестировал даже ;-) Но у нее есть большой минус - это отдельная программа. Пользователю придется ее ставить, чтобы использовать. А это сильно сужает область ее применения.
Алексею:
Так снижается количество НСД, связанных с прочтением записулек, а ты/CyLab брал только связанные с подломом.
А у тебя действительно проблема со стикерсами в конторе? Или все-таки это надумано? Вот я у нас ни разу не видел стикерсов...
Очень редко и не на видном месте - они ученые.
Однако ж, мнемотехники позиционируются как способ избежать записывания, поэтому с этой стороны надо и эффект оценивать, казалось бы.
Был бы неплох общедоступный и обязательный к использованию в организации сервис генерации парольных фраз с визуализацией образа для лучшего запоминания. Так как запоминается лучше, то что вызывает эмоции. Например: слон остановил автомобиль и картинка :)
Ну и оторвать в приложениях функцию запоминания паролей, которые делают нам медвежью услугу. Ибо повторенье мать ученья :)
Возможно, причина неэффективности этого метода заключается в том, что предлагаемые преобразования
"линейны". По сути, использование в качестве пароля слова из словаря или набора таких слов (в виде двух первых букв) - есть одно и тоже с точки зрения словарного подбора.
Для противостояния атакам по словарю в пароль нужно вводить случайность. Вариант с генерацией парольных фраз гораздо эффективнее.
Осмелюсь предположить, что фраз из четырёх слов (чтобы получить пароль длиной восемь символов), которые может придумать среднестатистический пользователь, даже меньше, чем просто восьмибуквенных слов. А вот запомнить такую искусственную фразу он точно сможет.
С другой стороны пока этот метод не получил широкого распространения, думаю, им всё же можно рекомендовать пользоваться.
Например, можно набрать в английской раскладке первые буквы стихотворения "У лукоморья дуб зелёный, златая цепь на дубе том", причём слово "дуб" - заглавными буквами и полностью: ekLE<ppwyln. Полученный 11-символьный пароль запомнить элементарно, а подобрать крайне сложно. Или ещё пример: пароль из 27 символов 69728ooh3f34t73wwj60qww294e - всего лишь фраза "you will never guess my password", набранная с помощью клавиш, расположенных на один ряд выше (y ->6, o ->9, u->7 и т.д.).
Проблема не в том, каким способом генерить хорошо запоминающийся пароль. Таких способов - десятки.
Проблема в том, чтобы пользователи начали этим пользоваться. А они не хотят этими методами пользоваться/ Се ля ви :)
"Если атака по словарю для обычных паролей была эффективна в 11% случаев, то для ассоциативных паролей - в 4%."
Специалисты лаборатории CyLab университета Карнеги-Меллона просто не умеют проводить атаку типа брутфорс...))
Ну да, только в Positive работают профессионалы экстра-класса, а все остальные слабаки ;-)
Алексей, я этого не говорил! Много существует компаний, предоставляющих услуги высокого уровня по множеству направлений... и профессионалов "экстра-класса" можно встретить не только в Positive:)
Отправить комментарий