www.anti-virus.by  / пресс-центр / новости иб ENGНа главнуюНаписать письмоПоискКарта сайта
 ВирусБлокАда 
ПОИСК ПО САЙТУ
Перейти к просмотру корзины В корзине:
0 прод.
 
 
 

НОВОСТИ ИБ

 

15 марта 2012

Идентификационные фразы почти так же плохи, как обычные пароли

Использование многословных фраз/предложений вместо однословных паролей десятилетиями считалось способом надёжно защититься от подбора пароля злоумышленником.

Сейчас эта идея снова возвращается. Появились инициативы вроде Fastwords, авторы которой утверждают, что на клавиатуре мобильных телефонов удобнее набрать несколько слов, чем пароль с прописными и строчными буквами, цифрами и спецсимволами. Компания Google недавно опубликовала советы по составлению паролей, в которых рекомендует составлять пароли на основе фраз для простоты запоминания. Например, пароль "2bon2btitq" означает закодированную гамлетовскую фразу "To be or not to be that is the question". Да что тут говорить, даже автор популярного комикса xkcd говорит, что фраза из четырёх случайных слов несёт 44 бита энтропии, что гораздо сильнее сложного пароля.
Однако, специалисты исследовательской лаборатории в области компьютерной безопасности Light Blue Touchpaper усомнились в достаточной надёжности идентификационных фраз. Чтобы проверить их энтропию, специалисты взяли базу фраз системы Amazon PayPhrase, которая в прошлом году некоторое время работала для американских пользователей. Хотя база не такая уж и большая, но полученные результаты (PDF) заставляют усомниться в истинной надёжности такого рода защиты.
Итак, система Amazon требовала от пользователя введения фразы минимум из двух слов, которая была бы уникальной, то есть не повторялась у других пользователей.
Для своего первого эксперимента исследователи составили словарь из 20000 фраз, используя названия спортивных команд, названия фильмов, список фраз из Википедии и список популярных фраз из словаря городского жаргона Urban Dictionary. Используя такой нехитрый подход, им удалось «взломать» около 8000 аккаунтов.
Проведя некоторые расчёты, авторы исследования оценивают энтропию идентификационных фраз всего лишь в 20 бит против хакера, который пытается скомпрометировать 1% существующих аккаунтов. Это лучше, чем пароли, которые показывают всего лишь 10 бит по такой методике, но всё равно недостаточно высокий результат. Данный вывод также свидетельствует, что при выборе защитной фразы многие пользователи игнорируют правило подбирать случайные слова, что является ключевым правилом в данной технике.
Далее, исследователи провели лингвистический анализ слов в идентификационных фразах и выяснили, что пользователи склонны выбирать фразы определённого типа, с одним существительным или с одним глаголом. Из-за этого реальная энтропия фразы тоже де-факто меньше, чем должна быть теоретически.
В целом, даже идентификационные фразы из пяти слов не гарантируют надёжной защиты, потому что более чем в половине случаев их энтропия не превышает 30 бит. По мнению исследователей, это серьёзное предупреждение для программных приложений, где используется защита с помощью фраз, таких как PGP.
Конечно, подбор слов в идентификационной фразе более случаен, чем в разговорной речи, но разница не такая большая, чтобы можно было говорить о надёжной защите с помощью идентификационных фраз, делают вывод специалисты.

Хакер

Все новости | Январь 2018 | Декабрь 2017 | Ноябрь 2017 | Октябрь 2017 | Сентябрь 2017 | Август 2017 | Июль 2017 | Июнь 2017 | Май 2017 | Апрель 2017 | Март 2017 | Февраль 2017 | Август 2014 | Март 2014 | Февраль 2014 | Январь 2014 | Декабрь 2013 | Ноябрь 2013 | Октябрь 2013 | Сентябрь 2013 | Январь 2013 | Декабрь 2012 | Ноябрь 2012 | Октябрь 2012 | Сентябрь 2012 | Август 2012 | Июль 2012 | Июнь 2012 | Май 2012 | Апрель 2012 | Март 2012 | Февраль 2012 | Январь 2012 | Декабрь 2011 | Ноябрь 2011 | Октябрь 2011 | Сентябрь 2011 | Август 2011 | Июль 2011 | Июнь 2011 | Май 2011 | Сентябрь 2010 | Август 2010 | Июль 2010 | Июнь 2010 | Май 2010 | Апрель 2010 | Март 2010 | Февраль 2010 | Январь 2010 | Декабрь 2009 | Ноябрь 2009 | Октябрь 2009 | Сентябрь 2009 | Август 2009 | Июль 2009 | Июнь 2009 | Май 2009 | Апрель 2009 | Март 2009 | Февраль 2009 | Январь 2009 | Декабрь 2008 | Ноябрь 2008 | Октябрь 2008 | Сентябрь 2008 | Август 2008 | Июль 2008 | Июнь 2008 | Май 2008 | Апрель 2008 | Март 2008 | Февраль 2008 | Январь 2008 | Декабрь 2007 | Ноябрь 2007 | Октябрь 2007 | Сентябрь 2007 | Август 2007 | Июль 2007 | Июнь 2007 | Май 2007 | Апрель 2007 | Март 2007 | Февраль 2007 | Январь 2007 | Ноябрь 2006 | Октябрь 2006 | Сентябрь 2006 | Август 2006 | Июль 2006 | Июнь 2006 | Май 2006 | Апрель 2006 | Март 2006 | Февраль 2006 | Январь 2006 | Декабрь 2005 | Ноябрь 2005 | Октябрь 2005 | Сентябрь 2005 | Август 2005 | Июль 2005 | Июнь 2005 | Май 2005 | Апрель 2005 | Март 2005 | Апрель 2004 | Март 2004 | Февраль 2004
 
КОНТАКТЫ
220088, РБ, Минск, ул. Смоленская, 15 — 803б
телефон: (+375 17) 294-84-29 (коммерческий отдел)
телефон: (+375 17) 290-59-29 (технический отдел)
E-mail: info@anti-virus.by
Прислать вирус: feedback@anti-virus.by
Для персонального компьютераДля рабочей станции в сетиСредство программное КАНОЭКонсольный сканерДля файловых серверовАвтоматизированное управление и обновлениеЗащита почтовых системЗащита интернет-шлюзовПрограммное средство АркитУтилитыКорзинаКупить
Антивирус
Антивирус на месяцИмпортозамещениеПоддержка образованияПоддержка медициныДисконтная система «Клубная карта ХК «Динамо-Минск»
Основные сведенияБлогЛицензии и сертификатыКлиентыПартнерыУслугиВакансии
Новости компанииПродукты и обновленияНовости ИБПресс-китПодписка на рассылку
БеларусьУкраинаБолгарияВеликобританияГонконгИранКитайЛатвияПольшаРумынияЯпонияПриглашение к сотрудничеству