Автокоррекция пароля без ущерба для безопасности
Новости Безопасность
На первый взгляд может показаться, что автокоррекция паролей — ужасная идея с точки зрения безопасности и очень невыгодный компромисс между безопасностью и удобством. Тем не менее группа ученых из Корнуэлльского университета и Массачусетского технологического института вместе с инженером по безопасности из компании Dropbox пришла к выводу, что подобные модификации механизма аутентификации не снижают уровень безопасности, сообщает Threatpost.
Исследователи — Рахул Чаттерджи (Rahul Chatterjee), Ари Джулс (Ari Juels) и Томас Ристенпарт (Thomas Ristenpart) из Корнуэлльского университета, Аниш Аталие (Anish Athalye) из MIT и Девдатта Ахаве (Devdatta Akhawe) из Dropbox — презентовали свое исследование в научном труде «pASSWORD tYPOS and How to Correct Them Securely» («оПЕЧАТКИ в пАРОЛЯХ и безопасные методы их исправления») на недавно прошедшем симпозиуме IEEE, посвященном безопасности и приватности.
В статье описывается технология, которую ученые назвали «пароли, терпимые к опечаткам»; она делает ввод пароля более удобным, но при этом не снижает уровень безопасности. Как выявили ученые, существуют три основные причины, по которым пользователи делают опечатки при вводе пароля: случайное нажатие клавиши CapsLock, случайный ввод первой заглавной буквы, добавление или удаление символов в начале или в конце пароля.
Используя метод автокоррекции, исследователи смогли снизить количество частых ошибок при вводе пароля и таким образом сделать жизнь пользователей чуть легче.
«Как показал эксперимент, почти 10% попыток ввода пароля неудачны из-за нескольких типичных и легко исправляемых опечаток — например, неправильный регистр, — пишут исследователи. — Мы демонстрируем, что автоматическое исправление некоторых из них может сократить количество попыток ввода пароля для большой группы пользователей и повысить успешность процесса на дополнительные 3%».
Facebook уже использует подобную схему, исправляя регистр в пароле. Именно это и вдохновило ученых заняться более глубокой проработкой проблемы.
Эксперимент осуществлялся на инфраструктуре Dropbox (без фиксации паролей или изменения политики аутентификации); ученые в течение 24 часов фиксировали наиболее частые опечатки, а затем проводили тот же самый «забег», но исправляя опечатки. В результате процесс входа в аккаунт заметно улучшился — за счет коррекции всего лишь трех типов опечаток.
Затем исследователи разработали два редактора паролей: терпимый к опечаткам и «нестрогий».
«Нестрогий редактор основан на существующей системе точных совпадений (например, сопоставляет «посоленные» bcrypt-хеши). Система превращается в «нестрогую», так как при сопоставлении допускает небольшое количество незначительных исправлений введенного пароля, — пишут исследователи. — Это позволяет создавать системы аутентификации, терпимые к опечаткам, но при компрометации сервера проверка на соответствие остается «жесткой» (хранимые значения соответствий остаются неизменными). Мы уделяем основное внимание анализу попыток подбора пароля онлайн и увеличиваем вероятность совпадения за счет ограниченного количества допущений».
Ристенпарт отметил, что при брутфорс-атаках хакеры могут использовать особенности метода и добиться успеха, если пароль изначально слабый и легко подбирается.
«Вероятность опечаток в изначально [слабых] паролях очень низкая», — сказал ученый. По словам Ристенпарта, предложенная система требует доработок — например, добавления автокоррекции при перестановке букв (что часто случается при использовании длинных сложных паролей). «Мы хотим применить подход к другим типам опечаток и разработать соответственный механизм автокоррекции», — добавил он.
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
Ищете, где скачать бесплатные программы?
Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
|
|
Программы для Windows
Программы для Linux
Приложения для Android
Приложения для iPhone