Как вы считаете, сколько попыток потребуется злоумышленнику для подбора вашего пароля?
Ваш пароль может выдержать 100 000 000 000 000 попыток подбора в случае оффлайновой атаки подбора?
Это слишком сложно? А как насчет 1 000 000 попыток? Фактически это стойкость пароля для противодействия более медленной онлайновой атаки на страницу входа в систему веб-сайта.
Думаете, что это все еще слишком сложно? А как насчет 100 попыток? Это число неудачных попыток, рекомендованное инструкцией NIST (National Institute for Standards and Technology).
Если иное не указано в требованиях, то ваш верификатор должен эффективно ограничить число попыток 100 последовательными неудачными попытками подбора пароля единственной учетной записи за 30-дневный период.
100 попыток – ничто. Сделать пароль, противостоящий 100 попыткам легко? Не правда ли?
Увы, НЕТ!
Согласно недавнему исследованию проведенному исследователями из Китая и Великобритании, у атакующего, владеющего небольшим количеством вашей персональной информации, есть всего 5 попыток, чтобы подобрать ваш пароль.
Исследователи из China Fujian Normal University, Peking University и Lancaster University (Великобритания) разработали TarGuess, платформу, предназначенную для подбора паролей пользователей на основе персональных данных, которые атакующий мог бы получить доступ.
Что используется в качестве персональных данных? Ваше имя и день рождения.
Как правило, успешный подбор пароля возможен приблизительно в 20% случаев при атаке всего за 100 попыток подбора, 25% в случае 1000 попыток и 50% в случае 1 млн попыток. То есть, большинство паролей обычных пользователей можно подобрать за небольшое количество попыток.
Мало того, если вы один из сотен миллионов тех пользователей, чьи данные были украдены в ходе атак на Adobe, Yahoo, LinkedIn и другие ресурсы, то ваши персональные данные, известные злоумышленнику, могут включать другой ваш пароль, так называемый «родственный пароль».
Знание «родственного пароля» может дать ключ к пониманию того, как вы создаете пароли, а значит процесс подбора будет ускорен.
TarGuess-III и IV, использующие родственные пароли, могут обеспечить успешность подбора в 73%, используя всего 100 попыток подбора паролей обычных пользователей и 32% в случае подбора опытных пользователей, заботящихся о своей безопасности.
