Университетские исследователи разработали систему, которая может угадывать пароли в 73% случаев.
Система под названием TarGuess была создана исследователями из Ланкастерского, Пекинского и Фуцзяньского педагогических университетов. опубликовано документ об их усилиях. В документе говорится, что против более заботящихся о безопасности пользователей фреймворк по-прежнему может претендовать на успех в 32% случаев.
В то время как отслеживание подбора паролей онлайн/офлайн активно изучается, лишь в нескольких исследованиях изучалось целенаправленное онлайн-подбор, когда злоумышленник угадывает конкретный пароль. пароль жертвы для службы, используя личную информацию жертвы, такую как пароль одной сестры, просочившийся из другой учетной записи, и некоторые личные данные информация (ИП).
Смотрите связанные
«Ключевая задача для целевого онлайн-угадывания состоит в том, чтобы выбрать наиболее эффективные кандидаты на пароли, в то время как количество количество попыток угадывания, допускаемых механизмами блокировки или регулирования сервера, обычно очень мало», — говорят авторы.
Исследователи заявили, что TarGuess «систематически характеризует типичные целевые сценарии угадывания с помощью семь надежных математических моделей», каждая из которых основана на различных типах данных, доступных злоумышленнику. Эти модели позволяют команде разрабатывать новые и эффективные алгоритмы угадывания.
Затем команда провела эксперименты, используя десять больших реальных наборов данных паролей, в том числе те, которые были обнаружены при взломе Yahoo. Среди десяти самых популярных паролей, используемых на Yahoo, были (что неудивительно) 123456, пароль, приветствие и ниндзя, среди прочих.
TarGuess был обучен на одном наборе паролей с одного веб-сайта, а затем использовал свое обучение для подбора паролей, которые пользователи использовали на других веб-сайтах.
Исследователи заявили, что результаты этой структуры предполагают, что используемые в настоящее время механизмы безопасности будут в значительной степени неэффективны против целевой угрозы онлайн-угадывания, и эта угроза уже стала намного более разрушительной, чем ожидал.
«Мы считаем, что новые алгоритмы и знания об эффективности целевых моделей угадывания могут пролить свет как на существующую практику паролей, так и на будущие исследования паролей», — заявили авторы.
