Какие пароли действительно безопасные? - 20 Августа 2010

Ученые из Georgia Tech Research Institute считают, что пароли длиной менее семи символов, используемые для авторизации на веб-сайтах, уже в ближайшее время будут считаться абсолютно ненадежными. Исключением не станут даже самые хитроумные комбинации цифр, букв и специальных знаков. Опираясь на результаты проведенных исследований, специалисты рекомендуют современным Интернет-пользователям использовать пароли, состоящие как минимум из 12 символов.

По мнению исследователей, угроза связана с появлением программных инструментов для аудита и восстановления паролей, которые используют ресурсы современных графических процессоров для повышения производительности. Ричард Бойд (Richard Boyd) из Georgia Tech Research Institute утверждает, что по скорости «перемалывания» чисел современные видеокарты вполне можно сравнивать с суперкомпьютерами, сконструированными всего лишь 10 лет назад. Можно с большой степенью вероятности предположить, что эти технологии рано или поздно привлекут к себе внимание кибер-преступников.

Длинные пароли более устойчивы к атакам типа «brute force», которые заключаются в переборе всех возможных символьных комбинаций, однако надежность пароля далеко не всегда определяется его длиной. Многие вредоносные программы используют встроенный словарь для перебора вариантов и с легкостью угадывают осмысленные пароли, состоящие из двух десятков символов. И ни один из паролей не может считаться надежным в случае заражения компьютера вредоносным приложением-кейлоггером.

Практические проблемы, связанные с использованием паролей для аутентификации интернет-пользователей, стали достаточно популярной темой академических исследований. В прошлом месяце Джозеф Бонно (Joseph Bonneau) и Серен Прейбух (Sören Preibusch) из Кембриджа выступили на конференции WEIS 2010 с любопытным докладом. Темой выступления стали распространенные ошибки и недочеты, обнаруженные в системах защиты современных сайтов. В отличие от своих коллег из Georgia Tech, кембриджские исследователи обеспечили взгляд на актуальную проблему со стороны веб-администраторов.

Подвергнув анализу защитные механизмы, присутствующие на 150 популярных коммерческих, новостных и почтовых ресурсах, ученые пришли к выводу, что многие сайты пренебрегают даже повсеместно распространенными мерами предосторожности, такими как использование хэша паролей и блокирование пользователя после нескольких неудачных попыток ввода ключевого слова.

Эксперты также уверены, что сайты с неэффективной защитой могут скомпрометировать даже хорошо защищенные ресурсы, если принимать во внимание любовь современных интернет-пользователей к универсальным паролям, которые используются для входа на большинство защищенных сайтов.

По материалам сайта The Register.