211service.com
Vienkāršas un drošas paroles
Microsoft pētnieki ir izstrādājuši veidu, kā izveidot viegli iegaumējamas paroles, nepadarot sistēmu neaizsargātāku pret hakeriem.
Tā vietā, lai ieviestu sarežģītas paroles, kā to dara daudzas organizācijas, jaunā shēma nodrošina, ka viena un tā pati parole nevarētu būt vairāk kā dažiem lietotājiem, kam ir līdzīga kopējā ietekme uz drošību. Turpmākie Microsoft pētījumi arī atklāj, kāpēc tikai dažas organizācijas pieprasa ļoti sarežģītas paroles.
Aizvien sarežģītākas prasības parolei — tādiem noteikumiem kā parolēm ir jābūt 14 rakstzīmēm gariem, un tajos ir jābūt vismaz diviem lielajiem burtiem, diviem mazajiem burtiem un trīs simboliem — apgrūtina uzbrucēju paroles uzminēšanu, izmantojot tā saukto vārdnīcas uzbrukumu, kas ietver daudzu iespējamo izmēģināšanu. paroles pēc kārtas.
Bez šādiem ierobežojumiem cilvēki mēdz izvēlēties paroles, kuras ir viegli atcerēties, viegli ierakstīt un viegli uzminēt. Piemēram, kad pagājušā gada decembrī nejauši tika izlaistas 32 miljoni paroļu no sociālo mediju vietnes RockYou, saskaņā ar tīmekļa drošības firmas veikto analīzi pagājušā gada janvārī gandrīz puse tika atklātas kā triviālas paroles, piemēram, secīgi cipari, vārdnīcas vārdi vai parastie nosaukumi. Imperva .
Prasība, lai paroles ietvertu ciparus, simbolus un jauktus reģistrus, ievērojami palielina iespējamo paroļu skaitu. Ievērojot šādus noteikumus, vārdnīcas uzbrukums kļūst neiespējams, taču arī paroles kļūst grūtāk atcerēties.
Viens no veidiem, kā sistēmu dizaineri mēģina pārvarēt vārdnīcu uzbrukumus, ir īslaicīgi atspējot kontu, ja nepareiza parole tiek iesniegta vairāk nekā dažas reizes. To sauc par konta bloķēšanu, un nav pārsteidzoši, ka uzbrucēji ir atklājuši vienkāršu veidu, kā novērst šo pieeju. Tā vietā, lai uzminētu tūkstošiem vai miljoniem viena konta paroļu, uzbrucēji vienkārši uzmin visbiežāk lietotās paroles tūkstošiem vai pat miljoniem dažādu kontu.
Jaunā Microsoft Research shēma pilnībā novērš sarežģītības prasības, vienlaikus aizsargājot gan pret vārdnīcu uzbrukumiem, gan statistiskiem minējumiem. Pakalpojums vienkārši saskaita, cik reižu kāds pakalpojuma lietotājs izvēlas noteiktu paroli. Ja paroli izvēlas vairāk nekā neliels lietotāju skaits, parole tiek aizliegta un nevienam citam to nav atļauts izvēlēties. Shēmu var izmantot tikai organizācijas ar miljoniem lietotāju, piemēram, vietnes, piemēram, Microsoft Hotmail.
Pieeja ir aprakstīta papīrs rakstījuši Microsoft pētnieki Stjuarts Šehters un Kormaks Herlijs , kas tiks publicēts konferencē Hot Topics in Security augustā Vašingtonā, DC. Maikls Micenmahers Hārvardas universitātē ir arī šī raksta līdzautors.
Paroles izveides noteikumu aizstāšana ar popularitātes ierobežojumiem var palielināt gan drošību, gan lietojamību, raksta autori. Tā kā nevienai parolei nav atļauts kļūt pārāk izplatītām, uzbrucējiem tiek liegtas populārās paroles, kas viņiem nepieciešamas, lai, izmantojot tiešsaistes minējumus, apdraudētu ievērojamu kontu grupu.
Tomēr Herlijs saka, ka pagaidām nav plānots ieviest jauno shēmu nevienā Microsoft produktos. Viņš saka, ka mēs nevaram spekulēt par Microsoft produktu plāniem. Pašlaik mēs to tikai izliekam, lai saņemtu atsauksmes no drošības pētniecības kopienas.
Dažu pēdējo gadu laikā pētnieki jaunās izmantojamās drošības jomā ir rūpīgi apskatījuši daudzas informācijas drošības prakses un atklājuši, ka daudzām no tām trūkst. Piemēram, daudzas datorsistēmas bloķēs kontus, ja lietotājs trīs reizes pēc kārtas nepareizi ierakstīs savu paroli. Taču pirms septiņiem gadiem Saša Brostofa un Andžela Sase, divas Londonas Universitātes koledžas Apvienotajā Karalistē, pētnieki, parādīja, ka šī skaita palielināšana no trim līdz 10 dramatiski samazina likumīgo lietotāju skaitu, kuri ir bloķēti, vienlaikus atstājot tikai niecīgu ietekmi uz sistēmas vispārējo drošību.
Pagājušajā nedēļā vairāk nekā 200 datoru drošības pētnieku no visas pasaules tikās Redmondā, Vašingtonas štatā, ikgadējā pasākumā Simpozijs par lietojamu privātumu un drošību lai apspriestu pieejas, kā padarīt datorus vienlaikus drošākus un lietojamākus.
Cits Microsoft pētnieku pētījums, kas tika prezentēts simpozijā, izskaidro, kāpēc tikai dažām organizācijām ir pārāk sarežģītas paroles. Pētījumā tika pārbaudīta paroļu politika 75 dažādās vietnēs, tostarp 20 visaugstāk novērtētajās vietnēs internetā, kā arī vietnēs, kas pieder bankām, lielām universitātēm un ASV valdības aģentūrām. Microsoft pētnieki Dinei Florencio un Cormac Herley neatrada korelāciju starp patērētāja konta vērtību, vietnei piedzīvoto uzbrukumu skaitu un to paroļu sarežģītību, kuras vietņu operatori uzspieda saviem lietotājiem.
Saskaņā ar pētījums , tīmekļa vietnes, kurās lietotājiem ir iespēja izvēlēties starp vairākiem pakalpojumu sniedzējiem — piemēram, banku un ieguldījumu sabiedrību vietnēm — parasti ir salīdzinoši vienkāršas paroles prasības. Šīs vietnes aizsargā savu lietotāju īpašumus, izmantojot krāpšanas apkarošanas metodes, un uzņēmumi nevēlas apgrūtināt saviem klientiem pieteikšanos.
Florensio un Herlijs atklāja, ka visstingrākās paroles prasības bija tajās vietnēs, kurās lietotājiem parasti nebija iespējas iepirkties, piemēram, ASV Sociālā nodrošinājuma pārvalde, Nacionālais laikapstākļu dienests un vairāku lielu universitāšu tīmekļa pasta sistēmas. Attiecībā uz šīm sistēmām organizācijām nav naudas stimula līdzsvarot lietojamību ar drošību vai atrast kādu citu veidu, kā aizsargāt lietotāju kontus.
Autori piebilst, ka lielākajā daļā organizāciju ir drošības speciālisti, kas pieprasa stingrāku politiku, taču tikai dažām ir pietiekami spēcīgas lietojamības prasības, lai tos atspiestu. Ja balsis, kas atbalsta lietojamību, nav vai ir vāja, drošības pasākumi kļūst nevajadzīgi ierobežojoši.
Simsons Garfinkels strādāja 2010. gada simpozija par lietojamo drošību un privātumu programmu komitejā.