Графические ключи так же предсказуемы, как пароли «1234567» и «password»

Рекомендуем почитать:247-210x280.jpg

Xakep #247. Мобильная антислежка

Многочисленные утечки данных не раз доказывали, что самые распространенные пароли (а также самые уязвимые), это всевозможные вариации на тему «password», «p@$$w0rd» и «1234567». Когда в 2008 году в Android появились графические ключи, казалось, они могут изменить ситуацию. Теперь становится ясно, что ситуация с графическими ключами мало отличается от ситуации с обычными паролями. Выпускница Норвежского университета естественных и технических наук Марте Лёге (Marte Løge) провела исследование данной темы, в ходе защиты магистерской диссертации. Свой доклад под названием «Скажи мне кто ты, и я скажу тебе, как выглядит твой графический пароль» Лёге зачитала на конференции PasswordsCon в Лас-Вегасе.

Так как графически ключи еще сравнительно молоды, и собрать большое количество примеров реальных ключей «из жизни» затруднительно, выборка у Лёге получилась небольшая – она проанализировала 4 000 Android lock Patterns (ALP). Тем не менее, полученные на выходе данные оказались небезынтересны.

«Люди предсказуемы. В случае графических паролей, мы наблюдаем тот же подход, которым люди руководствуются при создании PIN-кодов и обычных буквенно-числовых комбинаций», — рассказала Лёге на конференции. ALP может содержать не менее 4 узлов и не более 9, что суммарно дает  389,112 возможных комбинаций. Так же как в случае с обычными паролями, число комбинаций возрастает экспоненциально, вместе с длиной графического ключа.

Длина графического ключа Число комбинаций
4 1,624
5 7,152
6 26,016
7 72,912
8 140,704
9 140,704

В целом, основные собранные данные таковы:

  • 44% ALP начинаются из верхнего левого узла
  • 77% начинаются в одном из четырех углов экрана
  • 5 – среднее число задействованных в графическом пароле узлов, то есть взломщику придется перебрать менее 8 000 комбинаций
  • Во многих случаях графический пароль состоит за 4 узлов, а это уже менее 1,624 комбинаций
  • Чаще всего ALP вводят слева направо и сверху вниз, что тоже значительно облегчает подбор

Мужчины в целом придумывают более сложные и длинные пароли, чем женщины. Самые сложные пароли – у молодых мужчин. Иллюстрация ниже демонстрирует разницу в сложности паролей:

Команда исследователей формализовала систему оценки сложности графических ключей еще в 2014 году, представив документ «Dissecting pattern unlock: The effect of pattern strength meter on pattern selection». Опираясь на данную систему оценки надежности комбинаций, Лёге получила следующие цифры: самый ненадежный пароль среди опрошенных набрал 6,6 баллов, самый надежный – 46,8 баллов. Средняя надежность пароля составила 13,6 баллов.

Помимо прочего, графические ключи оказались подвержены той же «болезни», что и численно-буквенные пароли, в качестве которых пользователи часто используют обычные слова. Более 10% полученных Лёге паролей оказались обычным буквами, которые пользователи чертили на экране. Хуже того, почти всегда выяснялось, что это не просто буква, но первая буква имени самого опрошенного, его супруга(ги), ребенка и так далее. Если атакующий, пытается взломать смартфон и знает имя жертвы, все становится совсем просто.

«Было очень забавно видеть, что люди используют ту же стратегию запоминания, к которой привыкли, используя численно-буквенные пароли. Тот же самый образ мысли», — рассказала Лёге. Выходит, если атакующим удастся собрать достаточно большое количество графических ключей, они смогут воспользоваться моделью Маркова, что значительно увеличит их шансы на успех. Лёге не стала фокусироваться на данном методе взлома в своем докладе из этических соображений.

В заключение Лёге дала ряд советов, как сделать ALP безопаснее. Во-первых, в графическом ключе стоит использовать большее количество узлов, что сделает пароль более сложным. Во-вторых, стоит добавить пересечений, так как они усложняют атакующим подбор комбинации и помогут запутать злоумышленника, если тот решил подсмотреть пароль через плечо жертвы. В-третьих, стоит отключить опцию «показывать паттерн» в настройках безопасности Android: если линии между точками не будут отображаться на экране, подсмотреть ваш пароль станет еще сложнее.

Фото: Marte Løge

О проекте

Не секрет что вся наша безопасность доступа к любимым сайтам держится на имени пользователя и пароле.

Имя пользователя каждый подбирает себе сам по своим личным пристрастиям, а вот к выбору пароля стоит подойти более ответственно, на пароле держится вся защита нашил личных данных. С помощью данного сервиса сможете подобрать правильные пароли, которые позволят защитить ваш сервис от легкого взлома.

Новые статьи

1. Пароли для пользователей 2. Пароли для профессионалов 3. Специфика разных мест применения паролей 4. Рекомендации администратору 5. Рекомендации программисту веб-сервисов 6. Как выбрать пароль? 7. Что делать, если вы забыли пароль BIOS 8. Универсальные пароли к BIOS 9. Вы забыли пароль. Что делать? Часть 1 10. Вы забыли пароль. Что делать? Часть 2 11. Запаролированная безопасность 12. Парольный аудит 13. Десять мифов о паролях в Windows 14. Имеешь 4 пароля — живи спокойно 15. Пароли для защиты информации

Результат сгенерированных паролей Здесь появится список паролей, когда вы нажмете «Создать пароль!». Например:

<theq>The Questionиюль 2016.20251<theq><theq>Технологии<theq>Интернет<theq>Бизнес<theq>Лайфхак<theq>Как Это Работает?<theq>Банки<theq>Тинькофф Банк</theq></theq></theq></theq></theq></theq></theq></theq><theq>Ответить<theq>Ответить<theq>1Комментировать<theq> Подписаться2</theq></theq></theq></theq></theq>8 ответов<theq><theq>Тинькофф Банк3 года назадофициальный аккаунтПользователю можно задать вопрос<qml>

Хороший пароль состоит из заглавных и строчных букв, цифр и знаков препинания. Например:

xJ462&b-vr01.8^5h

hs#lzkAc~6oifL0xwT

{|%SJbB7AN~T

Еще хорошие пароли сочиняют коты, когда ходят по клавиатуре:

s7777,.LW/g000—5255

GBz.vURHDG>923ub4grz.34

#$:*(Tg;9729htgbz1114

Если просто несколько раз бросить руки на клавиатуру, получится надежный пароль:

p$[ghPHg5g79

4ghu;DSsl@vnQwi4

vd.Kjbk.j4uies$

Такие пароли невозможно подобрать с помощью словаря, а на перебор уйдут месяцы и годы — за это время вы успеете сменить пароль, ящик и гражданство.

У каждого человека собственная техника запоминания пароля. Если у вас нет, попробуйте такую:

Возьмите простую фразу, которую вы точно запомните. Например, «картошка с грибами». Напишите ее: kartoshka s gribami

Представьте, что произносите эту фразу с акцентом. Как бы вы ее тогда написали? Например, с итальянским акцентом: kartOshka s gribammi

Замените пробелы на какой-нибудь знак: тире, точку, запятую или похуже что-нибудь: kartOshka.s.gribammi

Замените какие-нибудь буквы на цифры — но так, чтобы запомнить, что вы меняли. Например, a на @, i на 1: k@rtOshka.s.gr1bamm1

Лучше всего пароль запоминается тогда, когда вы его часто вводите. Если вы только сочинили пароль, отключите в почте или соцсетях галочку «запомнить меня», и вам придется вводить его каждый день. Так ваши руки научатся вводить его автоматически. Через неделю можно снова включать «Запомнить меня».

Есть еще альтернативный метод создания сильных паролей.

</qml>Тинькофф Банкотвечает на ваши вопросы в своейПрямой линии<theq>14-2</theq></theq></theq><theq><theq>Николай Кузнецов3 года назад.<qml>

Вы легко можете иметь несколько десятков сложных паролей, которые никогда не забудете. Для этого можно использовать свою любимую песню или стихотворение и выбирать первые, вторые, третьи,  …  буквы в каждом слове. Они будут образовывать новые пароли, а началом и концом будет номер и спецсимвол.

«В лесу родилась елочка, в лесу она росла. Зимой и летом стройная, зелёная была»

*1влрёворзилсзб1*

%2веолвеноииетеы2%

#3всдовсасмитрлл3#

Необязательно использовать именно этот алгоритм для создания пароля, вы можете придумать свой собственный более удобный  для вас.

</qml><theq>2</theq></theq></theq><theq><theq>Алёна Киреева3 года назадБывшая управляющая из сети ресторанов быстрого питания. Нынешний web-разработчик в небольшом городе.<theq>1</theq></theq></theq><theq><theq>David Akunts3 года назадГитарист, уличный музыкант, бульбазавр маркетинга, билингвПользователю можно задать вопрос<qml>

Везде, где можно, включил двухфакторную авторизацию и не парюсь насчет сложности пароля. 

Да, вы можете сказать, что и в этом случае я не защищен на 100% от взлома, а я отвечу, что и мегасложный пароль не дает гарантий безопасности.

</qml>David Akuntsотвечает на ваши вопросы в своейПрямой линии<theq>1</theq></theq></theq><theq><theq>Ilya Glotov3 года назадИсследователь информационной безопасности<qml>

Вообще, большинство специалистов в этой области рекомендуют отказаться от придумывания паролей и перейти на использование специальных менеджеров, которые генерируют при регистрации на каждом сайте различные длинные последовательности из всевозможных символов. 

При этом больше не придется запоминать множество паролей от всего что нужно, вам понадобится всего лишь один мастер-пароль и какой-либо инструмент двухфакторной аутентификации — например, телефон. Такой подход позволит минимизировать ущерб от случайной передачи пароля мошенникам различными путями или взлома одного из используемых вами сервисов — ведь пароль на каждом сайте разный. 

Самыми известными менеджерами паролей можно назвать KeePass и LastPass.

Если же нет желания их использовать, постарайтесь заменить в своей практике «пароль» как сущность на парольную фразу.

Парольная фраза в идеале максимально разнообразна: строчные и заглавные буквы, цифры, специальные символы. Если сервис, в котором происходит регистрация, позволяет, то используйте разные языковые алфавиты. Парольная фраза, к примеру, на русском языке, сразу отсеивает некоторые вектора атак мошенников.

Старайтесь использовать, где это возможно, двухфакторную аутентификацию, чтобы сами по себе учетные данные ничего злоумышленнику не давали.

</qml></theq></theq><theq>Читать ещё 3 ответа</theq><theq>Ответить</theq>Рейтинг вопросов за день<theq>1Люди старше 25 лет, кем вы работаете, как долго, как вы получили нынешнее место в компании или организации, насколько легко устроиться на вашу должность и какие советы вы бы дали новичкам?<theq>2Как стать арт-дилером?<theq>3Какую биологическую роль выполняет зуд? Как наличие зуда помогало особям выживать, если зуд приводил к расчесыванию и воспалению?<theq>4В какую сумму обойдется игровой ПК средней производительности?<theq>5Как найти мотивацию что-либо делать? После чреды серьезных разочарований, вообще нет энергии?</theq></theq></theq></theq></theq>© 2019 TheQuestionПравилаПомощьРекламаИспользуемые источники:

  • https://xakep.ru/2015/08/21/alp-stat/
  • http://pasw.ru/
  • questions/136259/answer-anchor/answer/189160

Ссылка на основную публикацию