Кратък анализ на паролите на Rockyou
Меню на раздела
Кратък анализ на паролите на Rockyou
През декември 2009 г. в резултат на хакерска атака в мрежата беше публикувана текстова база данни с 32,6 милиона откраднати пароли за уебсайта www.rockyou.com. Едно от най-големите течове напоследък ни даде поглед върху това как хората създават своите пароли, техния най-прост анализ на сигурността от гледна точка на външен човек. Всички статистики се събират и обработват с помощта на софтуерния пакет за проверка на пароли за Windows Password Recovery.
20 популярни пароли
Трудно е да се види нещо различно от 123 в списък с популярни пароли, така че трябва да се очакват двадесет горещи пароли. Прави впечатление, че най-обожаваната парола123456 води с доста голяма разлика. Освен това, дори в количествено отношение, популярността му е над върха: от 32 милиона записа, той представлява повече от 290 хиляди. Един служител на нашата компания изрази мнение, че ако делът на 10 популярни пароли в потребителската база данни е повече от 1%, тогава тази база данни се счита за ненадеждна. Базата данни rockyou надхвърля тази цифра повече от 2 пъти. Анализът на популярните пароли ни позволява, като ги комбинираме според общи характеристики, да отделим няколко основни групи:
Дължина на паролата
Важен елемент от устойчивостта на паролата срещу хакване е нейната дължина. Можем да кажем, че колкото по-дълга е паролата, толкова по-трудна е за разбиване. Не бива обаче да забравяме, че този деликатен баланс ще бъде нарушен в момента, когато дълга парола може да бъде успешно забравена или изтрита от паметта след забавно корпоративно парти. Някои потребители обичат да залепват стикери с пароли директно върху монитора на компютъра си, ноогромното мнозинство не са отишли много далеч и действат без излишни приказки, предпочитайки лесни за запомняне комбинации от максимум 7-8 знака.
Графиката показва, че най-популярните пароли са с дължина съответно 6, 8 и 7 знака. Тези три представляват повече от 65% от общия брой пароли. Това означава, че 2/3 от всички пароли могат лесно да бъдат отгатнати с груба сила.
Разнообразие от набори от знаци
Друг също толкова важен фактор, влияещ върху силата на една парола, е разнообразието от знаци, използвани в нея. Например парола от 7 знакаaA1@aaa е повече от 10 пъти по-силна от 9 знакаabcdefghi. Повече от половината от всички потребители използват един и същ набор от знаци в своите пароли. Например една цифра или една малка буква. Над 96,5% използват един или два и само по-малко от 3,5% използват 3 или повече набора от знаци. Графиките за дължината и разнообразието на паролите показват още веднъж, че предпочитанията за потребителските пароли са се променили малко или изобщо не са се променили през последните няколко десетилетия. Заключение: поне в нашия случай митът, че потребителят може да бъде принуден да създаде силни пароли, е успешно развенчан.
Предпочитания за набор от знаци
Общата статистика показва, че при създаване на пароли, състоящи се от един набор от символи, най-голямо предпочитание се дава на набор само от малки букви (над 41% от общия брой), следвани от пароли, състоящи се само от цифри (почти 16%), главни букви (1,5%) и малък брой пароли от специални знаци.
Поредица от знаци в паролите
Формат на паролата
Сега помислете за маската на паролатабуква по буква. Водещите позиции са заети от 6, 7 и 8-символни пароли, състоящи се от един набор от символи. очакван. При по-сложни пароли хората са склонни да добавят една или две цифри в края на думата. Заключение: най-простият анализ на формата на паролата може да се използва от нападателите за създаване на специални модели (маски) за по-нататъшно бързо търсене на парола в съответната атака.
Коефициент на знаци
Графиката на честотата на знаците показва най-често срещаните знаци в списъка с пароли. В бъдеще тази статистика може да се използва за математически анализ. Например при конструиране на вериги на Марков. Вероятно смятате, че това е безполезна статистика? За съжаление не. Ако анализираме всички записи от rockyou.txt за пароли, състоящи се от 20 често използвани знака, се оказва, че в базата данни има цели 4 789 597 от тях, което е 14,7% в процентно изражение. Теоретично въз основа на този анализ е възможно да се създадат идеални набори от символи за по-бърза и по-добра груба сила на паролата.
Заключение 1. Напоследък нарастващата скорост на съвременните компютри и възможността за използване на мощността на графичните процесори за отгатване на пароли предизвика сериозно безпокойство. Ако един обикновен четириядрен процесор постига скорости от повече от 100 000 000 пароли в секунда при опит за пароли за Windows NT, тогава графичните процесори от най-висок клас не развиват порядък по-висока скорост. Така, например, проста парола от 7 символа може да бъде позната за няколко секунди на GPU. Необходимо е да се търсят алтернативни методи за защита на данните или своевременно да се променят алгоритмите за криптиране в защитата с парола.
Заключение 3. Нито едно от горните не е особено изненадващо. Ако перифразираме крилатата фраза, човек можеда кажа, че всичко тече и се променя в този свят, с изключение на небрежното отношение на повечето хора към собствената им безопасност. В това отношение бележник или стикер с добра парола, поставен на монитора, е много по-полезен от баналния 123456 или qwerty. Трудно е да накараш обикновен потребител да мисли за самата сигурност, той вече има достатъчно грижи. Следователно производителите на софтуер по въпросите на сигурността, вместо да прехвърлят тежестта на отговорността върху раменете на потребителя, трябва да разработят и прилагат в своите продукти по-модерни и модерни алгоритми за защита с парола, които отговарят на съвременните реалности.
Документът е достъпен за безплатно разпространение и препечатване със задължително позоваване на източника. (c) Софтуер Passcape 2006. Всички права запазени.