Пароли, которые мы выбираем.

Доброго времени суток всем, кто интересуется информационной безопасностью или небезопасностью. Совсем недавно из социально-профессиональной сети LinkedIn были украдены реквизиты 6.143.150 аккаунтов и, конечно же, хэши паролей этих аккаунтов были выложены в сеть.

Мне уже давно хотелось провести небольшое исследование на тему безопасности паролей, но под руку не попадалось дампов хэшей с серьезных ресурсов. И вот момент настал. Я буду краток…

Мной была проведена атака по словарю…

Полный перебор я специально не использовал, так как теряется смысл изыскания, а наша задача – понять, как пользователи «выдумывают» себе пароли.

Итак, что имелось в наличии:

- словарь 580.738.891 уникальных слов (реальные слова

различных народов мира, дампы паролей, а также комбинации часто встречающихся фраз).

- программа брутфорсер oclHashcat-plus

- дамп хэшей(SHA1) с LinkedIn

Пароли находились как прямым сравнением со словарем, так и применением к этому словарю самых распространенных правил.

- «мутирование» регистров символов в слове (password - >

PaSSwoRd)

- дублирование символовслова, инверсия слова, вращение

(password - > passwordpasswordpassword)

- добавление спец. символов в начало и конец (password - >

password2012)

- замена символов на символы схожие в написании (password - >

p@$$word)

- и многие другие.

Итого было найдено 36771 из 6.143.150 паролей. Примечательно то, что поиск дублей в дамбе показал лишь 146265 хэшей, это крайне меня удивило. Число найденных паролей не так велико, но присмотримся к результатам.

len: 6 count:179

len: 7 count:967

len: 8 count:13153 - фаворит 8 символьный пароль.

len: 9 count:5544 - второе, просадка по кол-ву больше чем в два раза

len: 10 count:4961

len: 11 count:4383

len: 12 count:3264

len: 13 count:1926

len: 14 count:1124

len: 15 count:513

len: 16 count:689

len: 17 count:24

len: 18 count:24

len: 19 count:7

len: 20 count:5

len: 21 count:2

len: 22 count:2

len: 24 count:2

len: 26 count:2 - встречались и такие особи.

диаграмма распределения длин паролей:



А теперь главное, вернемся к теме «Пароли, которые мы выбираем»

Стоит отдать должное LinkedIn, цифровые пароли там запрещены (не одного не было найдено). Я не стану уделять внимание слабым паролям, а обращусь сразу к сложным. Очень много паролей, основанных на преобразованных словах, например, таких, которые, я указал в правилах «мутации» слов. Встречаются пароли типа ФАМИЛИЯ-ИМЯ, длинный пароль, но, тем не менее, достаточно иметь дамб имен с того же Facebook, чтобы с легкостью находить пароли такого типа. Дублирование слов создает длинные пароли, но крайне уязвимые против атак по словарю, например: «principinoprprincipinopr» - 24 символа, недоступные для прямого брутфорса, по причине «столетий» оказывается бесполезным против атак по словарям.

Различные крылатые выражения, также используются в качестве паролей. Проблема очевидна, они могут быть в словаре, а благодаря правилам «мутации», подставляемых в хэш функцию слов, хоть 10 раз напишите «ilovecats», такой пароль будет найден.

Отношение паролей использующих символы в нижнем регистре составляет примерно 82%, остальные же 18% - это смешанные или пароли в верхнем регистре.

Я не стану утверждать, что данная статистика абсолютно точна, ведь есть ещё 6.106.379 нерасшифрованных хэшей.

Подведу итоги в виде рекомендаций:

- аксиома №1 «Не создавай пароль меньше 12 символов».

- аксиома №2 «Не создавай пароль из цифр».

- аксиома №3 «Используй в пароле буквы в верхнем и нижнем регистре, а

также цифры и символы»

- аксиома №4 «Не используй дублирующиеся слова, не важно насколько они

сложны по отдельности».

- аксиома №5 «Не изменяй реальное слово, используя замены, дабы

превратить его в сложное, но читаемое»

- аксиома №6 последняя «Если ты с трудом запомнил свой пароль, или без

записи его, где-либо тебе не обойтись, знай это стойкий пароль!»

Спасибо всем за внимание, прошу простить за несколько художественный стиль повествования. Первая статья комом



P.S исходник моей статьи находится тут:

ТУТ