Регистр и цифры в пароле оказались бесполезными для его устойчивости к взлому

Ученый из Университета Глазго совместно со своим коллегой из исследовательской лаборатории Symantec проанализировали сложность интеллектуального подбора пароля и выяснили, что добавление символов верхнего регистра и цифр не делает пароль значительно устойчивее по сравнению с первоначальным. Большую эффективность показало банальное удлинение пароля или использование специальных символов. Результаты своей работы авторы опубликовали в сборнике ACM CSS 2015.

Исследователи использовали для атаки интеллектуальные алгоритмы, которые предварительно были обучены на базе данных, представляющей собой десять миллионов слитых в сеть в открытом виде паролей. После обучения они проверили эффективность алгоритмов на 32 миллионах других паролей.

Авторы использовали различные методы атак, основанные на N-граммах, вероятностной контекстно-свободной грамматике и экспоненциальной выдержке, из которых наилучшие результаты при подборе показал последний. Суть этого алгоритма заключается в правильном подборе частоты некоторого процесса с помощью проверок, расстояние между которыми растет экспоненциально.
Например, в некоторых сетях алгоритм экспоненциальной выдержки используется для определения подходящего времени между запросами к определенному, часто довольно загруженному, узлу. Время между запросами изменяется примерно как степень двойки.

На основании этой проверки авторы предложили новую шкалу сложности угадываемого пароля. Оказалось, что наиболее эффективными способами для усложнения взлома пароля являются удлинение пароля и добавление символов, не являющихся цифрами или алфавитными буквами, а использование символов верхнего регистра и цифр не позволяет достичь такого же эффекта.

Исследователи объясняют это тем, что люди в своих паролях обычно используют символы верхнего регистра в начале пароля, а цифры в конце. По словам авторов, основной способ сделать пароль более надежным тривиален – надо сделать его менее предсказуемым.