Эксперты по безопасности Microsoft разработали новую концепцию создания безопасных паролей, которая избавляет от легко забываемых строк буквенно-цифровых идентификационных кодов, состоящих из нескольких регистров.
Концепция основана на предоставлении пользователям возможности выбирать свои собственные относительно простые пароли при условии, что эти пароли не выбираются слишком многими другими людьми в системе, что делает атаки путем случайного угадывания менее успешными.
Мы разрешили бы любой пароль, который пожелает пользователь, до тех пор, пока он не является привлекательной целью для атаки статистического угадывания.
«Мы предложили заменить сегодняшние сложные политики паролей на простые», — написали Стюарт Шехтер и Кормак Херли в своем Популярность — это все отчет. «Мы разрешили бы любой пароль, который пожелает пользователь, если он не является привлекательной целью для статистической атаки на угадывание».
Недавняя тенденция защиты паролем заключалась в использовании более длинных и сложных идентификаторов, которые предназначен для предотвращения «атак по словарю», в ходе которых хакеры пытаются попробовать миллионы паролей для каждого пользователя. счет.
Сложные правила пароля — например, «должен содержать не менее 12 символов, содержать смесь верхнего и нижнего регистра». буквы, цифры и хотя бы один символ» — затрудняют подбор паролей хакерами с помощью атак по словарю.
Тем не менее, по словам исследователей, ИТ-менеджерам необходимо применять и защищать эти пароли, блокируя учетные записи, скажем, после трех неудачных попыток входа в систему, что приводит к высоким затратам на поддержку.
По словам исследователей, хакеры обошли концепцию все более сложных паролей, перевернув эту идею с ног на голову.
Вместо того, чтобы применять сотни тысяч паролей к каждой учетной записи, злоумышленники выбирают наиболее часто используемые пароли и применяют их к тысячам учетных записей.
Схема исследователей защищает от статистических угадываний, просто подсчитывая, сколько раз пользователи выбирают любой заданный пароль, и как только этот предел достигнут, пользователи больше не могут выбрать этот пароль.
«Замена правил создания паролей ограничениями популярности может повысить как безопасность, так и удобство использования», — говорится в отчете.
«Поскольку никакие пароли не могут стать слишком распространенными, злоумышленники лишены популярных паролей, которые им необходимы для взлома значительной части учетных записей с помощью онлайн-угадывания».
Несмотря на значительный отход от современного мышления, система будет работать только для систем с сотнями тысяч пользователей, таких как Google, Facebook или Hotmail.
