Когнитивная психология - часть вторая

Когнитивная психология - часть вторая
Что-то потянуло меня на изучение различных исследований в области ИБ ;-) В среду обсуждали тему когнитивной психологии и числа запоминаемых паролей. В качестве решения проблемы было предложено использовать ассоциативные пароли, создаваемые на основе различных фраз и предложений. Например, из всем известной фразы "Мой дядя самых честных правил" можно составить пароль по первым буквам каждого слова фразы - "мдсчп" или "модясачепр" (по первым двум буквам). В прочитанном мной исследовании приводился такой пример - из фразы "Four score and seven years ago, our Fathers" появился пароль "4s&7ya,oF". Очень неплохой вариант со всех точек зрения... Но так ли это на самом деле? Специалисты лаборатории CyLab университета Карнеги-Меллона выдвинули гипотезу, что люди будут выбирать публично известные фразы для создания мнемонических (ассоциативных) паролей - из фильмов, музыки, рекламы и т.п. Как следствие, возможно создание словарей таких фраз, облегчающих подбор пароля. Набрали 290 респондентов и попросили их выбрать себе ассоциативный пароль. Затем применили два вида атак - полным перебором и по словарю. Последний создавался путем анализа разных Web-сайтов (было собрано 249000 фраз и цитат). Что выбирали люди? Чаще всего они использовали для ассоциаций музыку и литературу (примерно по 15%). На третьем месте - фильмы (10%). Четвертое - телешоу. Пятое - известные публичные речи (вроде "Борис, ты не прав" для тех, кто помнит). А вот дальше было самое интересное - результаты атак ;-) Если атака по словарю для обычных паролей была эффективна в 11% случаев, то для ассоциативных паролей - в 4%. Прямой перебор помог тоже в 4% случаев (для обычных паролей - в 8%). Что мы видим? Ассоциативный метод не очень сильно увеличил защищенность системы аутентификации и не может считаться не то, что панацеей, но и реальным методом повышения уровня безопасности (сложность выше, а эффективность почти такая же). С течением времени этот метод станет только хуже: появятся более эффективные словари фраз, а не сделанные "на коленке" для тестапользователи будут выбирать самые популярные фразы, что равносильно выбору пароля по имени кошки, номеру паспорта и т.п. (вычисляется очень легко)тупик и стресс для пользователя, которого просят не использовать широко известные фразы (он просто ничего другого не вспомнит)популярность метода привлечет к его анализу большее число исследователей. ЗЫ. Название исследования "Human Selection of Mnemonic Phrase-based Passwords".
аутентификация психология
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь