Значение регистра и цифр для защиты пароля оказалось преувеличенным

Москва. 22 октября. INTERFAX.RU - Ученый из Университета Глазго совместно со своим коллегой из исследовательской лаборатории Symantec проанализировали сложность интеллектуального подбора пароля и выяснили, что добавление символов верхнего регистра и цифр не делает пароль значительно устойчивее, чем он был первоначально, сообщает N+1 со ссылкой на сборник научных статей ACM CSS 2015.

Большую эффективность показало обычное удлинение пароля или использование специальных символов.

Исследователи использовали для атаки интеллектуальные алгоритмы, которые предварительно были обучены на базе данных, представляющей собой 10 млн слитых в сеть в открытом виде паролей. После обучения они проверили эффективность алгоритмов на 32 млн других паролей.

Авторы использовали различные методы атак, основанные на N-граммах, вероятностной контекстно-свободной грамматике и экспоненциальной выдержке, из которых наилучшие результаты при подборе показал последний. Суть этого алгоритма заключается в правильном подборе частоты некоторого процесса с помощью проверок, расстояние между которыми растет экспоненциально. (Экспоненциальная выдержка - это алгоритм, использующий обратную связь для мультипликативного уменьшения частоты некоторого процесса, чтобы постепенно найти приемлемую частоту - ИФ).

Например, в некоторых сетях алгоритм экспоненциальной выдержки используется для определения подходящего времени между запросами к определенному, часто довольно загруженному узлу. Время между запросами изменяется примерно как степень двойки.

На основании этой проверки авторы предложили новую шкалу сложности угадываемого пароля. Оказалось, что наиболее эффективными способами для усложнения взлома пароля являются удлинение пароля и добавление символов, не являющихся цифрами или алфавитными буквами, а использование символов верхнего регистра и цифр не позволяет достичь такого же эффекта.

Исследователи объясняют это тем, что люди в своих паролях обычно используют символы верхнего регистра в начале пароля, а цифры в конце. По словам авторов, основной способ сделать пароль более надежным тривиален - надо сделать его менее предсказуемым.

N+1