Kāpēc paroļu automātiskā labošana ir lieliska ideja?

Lielākajai daļai no mums kādreiz ir nācies atkārtoti ievadīt paroli, jo mēs to nepareizi ievadījām. Iespējams, jūs pat esat bloķēts no konta pēc pārāk daudzām drukas kļūdām.





Jauni pētījumi liecina, ka no šīm neapmierinātībām var izvairīties, izmantojot to pašu pieeju, ko izmanto, lai labotu drukas kļūdas īsziņās un dokumentos: automātiskā labošana.

Pētnieki analizēja pieteikšanos datu glabāšanas pakalpojumā Dropbox, lai pierādītu, ka cilvēku ielaišana pat tad, ja viņiem ir nepareizi ievadītas dažas rakstzīmes, var samazināt galvassāpes, būtiski nekaitējot drošībai.

Tas, mūsuprāt, ir diezgan liels darījums, saka Āri Juels , profesors Džeikobsa Tehniona-Kornela institūtā Kornela Tehnoloģijā Ņujorkā. Vietnēm ir jāmaina paroļu politikas, lai atvieglotu lietotāju dzīvi. Drošības pasliktināšanās ir diezgan maza.



No pirmā acu uzmetiena ļaut parolēm ar drukas kļūdām atbloķēt kontu izklausās kā slikta ideja. Galu galā uzbrucējam, kas mēģina uzminēt jūsu paroli, tā nav precīzi jāiegūst. Facebook ir kritizēts par to, ka ļauj cilvēkiem pieteikties pat tad, ja paroles pirmais burts ir nepareizi ievadīts vai nejauši ir ieslēgts burtslēgs.

Taču Džūlss un līdzstrādnieki no Cornell Tech, MIT un Dropbox saka, ka ideja nav bīstama, ja tā tiek īstenota tā, lai ņemtu vērā to, kā cilvēki izvēlas paroles un viņu pieļautās drukas kļūdas. Viņu papīrs tika prezentēts pagājušajā nedēļā notikušajā IEEE simpozijā par drošību un privātumu.

Viņi apkopoja datus par drukas kļūdām, analizējot 24 stundu pieteikšanos Dropbox, kurā ir simtiem miljonu lietotāju. Gandrīz 10 procentos no pieteikšanās mēģinājumiem tas neizdevās dažu viegli izlabojamu drukas kļūdu dēļ, piemēram, lielo burtu slēgšanu atstājot. Apmēram 3 procenti lietotāju, kuri neiekļuva savos kontos, būtu varējuši to izdarīt, ja automātiskā labošana būtu aptvērusi trīs visbiežāk sastopamās drukas kļūdas: burtslēga atstāšana ieslēgta, nepareiza reģistra lietošana pirmajai rakstzīmei vai pēdējās rakstzīmes dzēšana.



Salīdzinot šos datus ar paroļu modeļiem, ko atklāj datu pārkāpumi, piemēram, 32 miljoni, kas nopludināti no sociālo spēļu uzņēmuma RockYou, liecina, ka šo izplatīto kļūdu labošana nedod lielu priekšrocību uzbrucējam, kurš mēģina uzminēt paroles. Vairumā gadījumu brīvie minējumi, kas radušies, pieņemot drukas kļūdas, nav daudz vērti. Uzbrucēji izmanto paroļu sarakstus, lai vispirms izmēģinātu parastās paroles, un šo paroļu drukas kļūdu labošana parasti rada nevēlamu, nevis citu parastu paroli.

Tomēr, pieņemot bieži sastopamas drukas kļūdas, uzbrucējs var izmantot dažas paroles. Piemēram, ja jūsu parole ir 12345 un uzbrucējs uzmin 123456, viņš varētu iekļūt. Lai pasargātos no šādiem gadījumiem, Juels un viņa līdzstrādnieki izveidoja divus drukas kļūdām izturīgus paroļu pārbaudītājus, kas nepieņem drukas kļūdas noteiktām parolēm, ja tās varētu būt riskantas. pamatojoties uz informāciju no nopludināto paroļu sarakstiem.

Šie pārbaudītāji tika pārbaudīti scenārijos, kas simulētu to, kas notiktu, ja uzbrucējam tiktu doti 1000 mēģinājumi uzminēt konta paroli (praksē maz ticams, jo uzņēmumi ierobežo nepareizu pieteikšanos). Uzbrucējs ne reizi neieguva pārsvaru vairāk par 0,2 procentiem. Pētnieki saka, ka tas liecina, ka ieguvumiem, ko cilvēki mēģina piekļūt saviem kontiem, vajadzētu atsvērt iespējamās drukas kļūdu pieņemšanas negatīvās puses.



Dažos gadījumos mēs praktiski neredzam drošības pasliktināšanos, veicot dažus labojumus, saka Juels. Mēs ceram, ka šis dokuments mainīs nozares praksi.

paslēpties