„Microsoft“ saugos ekspertai sukūrė naują saugių slaptažodžių generavimo koncepciją, kuri pašalina lengvai pamirštamas kelių raidžių ir skaitmeninių ID kodų eilutes.
Ši koncepcija remiasi tuo, kad naudotojai gali pasirinkti savo palyginti paprastus slaptažodžius, jei jie yra tokie jų nepasirenka per daug kitų sistemoje esančių žmonių, todėl atakos atsitiktinai spėjus tampa mažiau sėkmingos.
Leistume bet kokį vartotojo pageidaujamą slaptažodį, jei tai nėra patrauklus statistinio spėliojimo atakos taikinys
„Pasiūlėme pakeisti šiandieninę sudėtingą slaptažodžių politiką paprasta“, – rašė Stuartas Schechteris ir Cormacas Herley. Populiarumas yra viskas ataskaita. „Mes leidžiame bet kokį vartotojo pageidaujamą slaptažodį, jei tai nėra patrauklus statistinio spėliojimo atakos taikinys.
Naujausia slaptažodžio apsaugos tendencija buvo ilgesni, sudėtingesni ID sukurta siekiant užkirsti kelią „žodynų atakoms“, kurių metu įsilaužėliai siekia išbandyti milijonus slaptažodžių kiekvienam vartotojui sąskaitą.
Sudėtingos slaptažodžio taisyklės, pvz., „turi sudaryti mažiausiai 12 simbolių, sudaryti iš didžiųjų ir mažųjų raidžių mišinio raidės, skaičiai ir bent vienas simbolis“ – apsunkina įsilaužėlių slaptažodžių atspėjimą naudojant žodyno atakas.
Tačiau IT vadovai turi užtikrinti ir apsaugoti šiuos slaptažodžius, užrakindami paskyras po, pavyzdžiui, trijų nesėkmingų bandymų prisijungti, sakė tyrėjai, o tai lemia dideles palaikymo išlaidas.
Tyrėjų teigimu, įsilaužėliai aplenkė vis sudėtingesnių slaptažodžių koncepciją, apversdami idėją ant galvos.
Užuot taikę šimtus tūkstančių slaptažodžių kiekvienai paskyrai, užpuolikai pasirenka dažniausiai naudojamus slaptažodžius ir taiko juos tūkstančiams paskyrų.
Tyrėjų schema apsaugo nuo statistinių spėlionių atakų tiesiog suskaičiuodama, kiek kartų vartotojai pasirenka bet kurį duotą slaptažodį, o pasiekus šią ribą daugiau vartotojų jo pasirinkti negali Slaptažodis.
„Slaptažodžių kūrimo taisyklių pakeitimas populiarumo apribojimais gali padidinti saugumą ir patogumą“, – teigiama ataskaitoje.
„Kadangi jokie slaptažodžiai negali tapti pernelyg įprasti, užpuolikai netenka populiarių slaptažodžių, kurių jiems reikia, kad spėliodami internete galėtų pažeisti didelę paskyrų dalį.
Nors ir gerokai pertrauka nuo dabartinio mąstymo, sistema veiktų tik sistemoms, turinčioms šimtus tūkstančių vartotojų, pavyzdžiui, Google, Facebook ar Hotmail.
