Universiteto mokslininkai sukūrė sistemą, kuri 73% atvejų gali atspėti slaptažodžius.
Sistemą, vadinamą TarGuess, sukūrė Lankasterio universiteto, Pekino universiteto ir Fudziano normaliojo universiteto mokslininkai, kurie paskelbta dokumentas apie jų pastangas. Straipsnyje teigiama, kad prieš labiau saugančius vartotojus sistema vis tiek gali būti sėkminga 32% atvejų.
Nors slaptažodžių atspėjimas internete ir neprisijungus buvo intensyviai tiriamas, tik keliuose tyrimuose buvo nagrinėjamas tikslinis spėjimas internete, kai užpuolikas atspėja konkretų aukos slaptažodis paslaugai, pasinaudojant aukos asmenine informacija, pvz., vienos sesers slaptažodžiu, nutekintu iš kitos paskyros ir kai kuriais asmenį identifikuojančiais duomenimis informacija (PII).
Žiūrėti susijusius
„Pagrindinis iššūkis tikslingai atspėti internete yra pasirinkti efektyviausius slaptažodžių kandidatus, o skaičių serverio blokavimo ar droselio mechanizmų leidžiamų atspėti bandymų paprastai yra labai mažas“, – teigė autoriai.
Tyrėjai teigė, kad „TarGuess“ „sistemingai apibūdina tipinius tikslinius spėjimo scenarijus su septyni patikimi matematiniai modeliai“, kurių kiekvienas yra pagrįstas įvairiais užpuoliko turimais duomenimis. Šie modeliai leidžia komandai sukurti naujus ir efektyvius spėjimo algoritmus.
Tada komanda atliko eksperimentus, naudodama dešimt didelių realaus pasaulio slaptažodžių duomenų rinkinių, įskaitant tuos, kurie buvo rasti „Yahoo“ pažeidimo metu. Tarp dešimties populiariausių „Yahoo“ naudojamų slaptažodžių buvo (nenuostabu) 123456, slaptažodis, pasveikinimas ir ninja.
TarGuess buvo išmokytas naudoti vieną slaptažodžių rinkinį iš vienos svetainės, o vėliau naudojo savo mokymą, kad atspėtų slaptažodžius, kuriuos vartotojai naudojo kitose svetainėse.
Tyrėjai teigė, kad sistemos rezultatai rodo, kad šiuo metu naudojami saugumo mechanizmai būtų daugiausia neveiksmingas prieš tikslinę internetinę spėliojimo grėsmę, ir ši grėsmė jau tapo daug žalingesnė nei tikimasi.
„Manome, kad nauji algoritmai ir žinios apie tikslinių atspėjimo modelių efektyvumą gali atskleisti tiek esamą slaptažodžių praktiką, tiek būsimus slaptažodžių tyrimus“, – sakė autoriai.
