Короткий аналіз паролів Rockyou
Меню розділу
Короткий аналіз паролів Rockyou
У грудні 2009 року в результаті атаки хакера в мережу була викладена текстова база даних 32,6 млн. вкрадених паролів сайту www.rockyou.com. Один із найбільших витоків останнім часом дав нам можливість поглянути на те, як люди створюють свої паролі, провести їх найпростіший аналіз безпеки з погляду стороннього спостерігача. Уся статистика зібрана та оброблена за допомогою програмного комплексу для аудиту паролів Windows Password Recovery.
20 популярних паролів
У списку популярних паролів складно побачити щось відмінне від 123, тому двадцятка гарячих паролів цілком очікувана. Впадає в око, що найулюбленіший користувачами пароль123456 лідирує з досить великим відривом. Причому навіть у кількісному відношенні популярність його зашкалює: із 32 млн. записів на нього припадає понад 290 тисяч. Один працівник нашої компанії висловив думку, що якщо в базі даних користувачів частку 10 популярних паролів припадає більше 1%, то ця база вважається ненадійною. База даних rockyou перевищує цей показник більш ніж у 2 рази. Аналіз популярних паролів дозволяє нам, об'єднавши їх за загальними ознаками, виділити кілька основних груп:
Довжина паролів
Важливим елементом стійкості пароля до злому є його довжина. Можна сказати, що чим довше пароль, тим складніше його зламати. Не варто, однак, забувати, що цей тендітний баланс буде порушено в той момент, коли довгий пароль може бути успішно забутий або стертий із пам'яті після веселого корпоративу. Деякі користувачі люблять наклеювати стікери з паролями прямо на монітор свого комп'ютера, алепереважна більшість пішли не дуже далеко і діють не мудруючи лукаво, віддаючи перевагу поєднанням, що легко запам'ятовуються, з максимум 7-8 символів.
На графіку видно, що найпопулярніші паролі мають довжину 6, 8 і 7 символів відповідно. На цю трійку припадає понад 65% загальної кількості паролів. Це означає, що 2/3 всіх паролів можуть бути легко вгадані за допомогою звичайного перебору.
Розмаїття наборів символів
Іншим, щонайменше значимим чинником, які впливають стійкість пароля, є різноманітність застосовуваних у ньому символів. Наприклад, 7 символьний парольaA1@aaa більш ніж у 10 разів стійкіший за 9 символьногоabcdefghi. Більше половини всіх користувачів використовують один набір символів у паролях. Наприклад, одні цифри або малі літери. Більше 96,5% використовують один або два, і тільки менше 3,5% застосовують 3 або більше символів. Графіки довжини та різноманітності паролів ще раз показують, що переваги користувачів при виборі паролів мало або зовсім не змінилися за останні кілька десятків років. Висновок: принаймні в нашому випадку, міф про те, що користувача можна змусити створювати стійкі паролі, успішно розвінчаний.
Уподобання при виборі набору символів
Загальна статистика показує, що при створенні паролів, що складаються з одного набору символів, найбільша перевага надається набору з одних малих літер (більше 41% від загальної маси), потім йдуть паролі, що складаються з одних цифр (майже 16%), з великих літер ( 1,5%) та невелика кількість паролів із спеціальних символів.
Послідовність набору символів у паролях
Формат паролів
Тепер розглянемо маску паролябуквено. Лідируючі позиції займають 6, 7 та 8-символьні паролі, що складаються з одного набору символів. Очікувано. У складніших паролях люди вважають за краще додають одну або дві цифри в кінець слова. Висновок: найпростіший аналіз формату паролів може бути використаний зловмисниками для створення спеціальних шаблонів (масок) для подальшого швидкого пошуку пароля у відповідній атаці.
Частота символів
Графіки частоти символів показує найпоширеніші символи у списку паролів. Надалі ця статистика може бути використана для математичного аналізу. Наприклад, при побудові ланцюгів Маркова. Ви, мабуть, думаєте, що це марна статистика? На жаль немає. Якщо проаналізувати всі записи з rockyou.txt на премет наявності паролів, що складаються з 20 символів, що часто вживаються, то виявиться що таких в базі аж 4 789 597 штук, що у відсотковому відношенні становить 14,7%. Теоретично, на основі цього аналізу, можна скласти ідеальні набори символів для більш швидкого та якісного перебору паролів.
Висновок 1. Останнім часом викликає серйозне побоювання зростаюча швидкодія сучасних комп'ютерів і можливість використання потужності графічних процесорів для підбору паролів. Якщо простий чотириядерний процесор при переборі паролів Windows NT досягає швидкості більш ніж 100 000 000 паролів на секунду, то не топові графічні процесори розвивають значно більшу швидкість. Так, наприклад, простий сім символьний пароль можна підібрати за кілька секунд на GPU. Треба шукати альтернативні методи захисту або своєчасно змінювати алгоритми шифрування в парольних захистах.
Висновок 3. Ніщо вищесказане не викликає особливого подиву. Перефразовуючи крилатий вираз, можнасказати, що все тече і змінюється у цьому світі, крім недбалого відношення більшості людей до власної безпеки. У цьому плані, записник або приклеєний на моніторі наклейка з гарним паролем, куди корисніше банальних 123456 або qwerty. Звичайного користувача складно змусити думати про власне безпеку, у нього і без того клопоту вистачає. Тому виробники програмного забезпечення у питаннях безпеки замість того, щоб перекладати тягар відповідальності на плечі користувача, повинні розробляти та застосовувати у своїх продуктах більш просунуті та сучасні алгоритми парольного захисту, що відповідають сучасним реаліям.
Документ доступний для вільного розповсюдження і передруку з обов'язковим посиланням на першоджерело. (с) 2006 Passcape Software. Всі права захищені.