Новое исследование Университета Конкордия выявляет слабые места измерителей надежности паролей и показывает, что потребители должны оставаться скептически настроенными, когда полоса становится зеленой, чтобы создавать надежные пароли.Для исследования, которое будет опубликовано в журнале ACM Transactions on Information and System Security, исследователи Мохаммад Маннан и Ксавье де Карне де Карнавале отправили миллионы не очень хороших паролей через счетчики, используемые несколькими поставщиками веб-сервисов с высокой посещаемостью, включая Google, Yahoo! , Dropbox, Twitter и Skype.
Они также проверили некоторые счетчики, обнаруженные в менеджерах паролей, якобы разработанные с учетом соответствующих знаний.«Мы обнаружили, что результаты очень противоречивы. То, что было сильным на одном сайте, было слабым на другом», — говорит Маннан, профессор Института инженерии информационных систем Concordia.
"Эти слабые места и несоответствия могут сбить с толку пользователей при выборе более надежного пароля и, таким образом, могут ослабить назначение этих счетчиков. Но с другой стороны, наши результаты могут помочь разработать более совершенные счетчики и, возможно, сделать их эффективным инструментом в долгосрочной перспективе, "добавляет аспирант де Карнавале.Итак, что могут сделать компании?
Исследователи рекомендуют начать с эмуляции Dropbox. Популярный сайт обмена файлами имеет самый надежный измеритель надежности пароля, а программное обеспечение имеет открытый исходный код.«Довольно простая программа проверки Dropbox весьма эффективна при анализе паролей и, возможно, является шагом в правильном направлении.
Любое слово, обычно встречающееся в словаре, будет автоматически обнаружено счетчиком Dropbox и выделено как слабое», — объясняет Маннан. «Это автоматически побуждает пользователей думать за пределами знакомых фраз при создании паролей».«Некоторые программы проверки очень строгие и присваивают оценки только в том случае, если пароль содержит не менее трех наборов символов, то есть букву, число и символ; другие средства проверки подходят для использования парольных фраз, состоящих только из букв. Несоответствие не объясняется пользователю и вряд ли может быть оправдано », — говорит де Карнавале.«Мы связались с большинством компаний, которые мы исследовали в нашем исследовании, но пока наши результаты остаются без внимания», — говорит Маннан.
Одна компания уронила счетчик, а другая исправила простую ошибку. Других изменений не наблюдалось даже через год.На данный момент люди должны убедиться, что их пароли надежны, используя полные символы и устанавливая случайные пароли.
Конечно, легче сказать, чем запомнить эти пароли, чем сделать.В качестве альтернативы Маннан предлагает другой инструмент для создания веб-паролей из частных изображений (SelfiePass / ObPwd для Android и Firefox).
Но использование таких инструментов может не решить проблему с паролем для всех случаев использования, предупреждает он.