Сравнение с другими пользователями заставило усилить пароль

giphy.com
Если сайт показывает пользователям оценку сложности их пароля, доля слабых паролей падает с 75 до 35 процентов. Еще большего улучшения паролей можно добиться, если сравнивать их с паролями других пользователей или рассказывать о том, сколько времени понадобится злоумышленникам на подбор пароля, сообщается в журнале Computers & Security.
Сложность пароля обычно определяется тем, сколько попыток нужно злоумышленнику для подбора пароля методом полного перебора. Как правило, для определения сложности пароля используют информационную энтропию, величина которой определяется как двоичный логарифм от количества попыток для полного перебора. Энтропия пароля зависит от его длины и того, какой набор символов в нем используются. Из-за этого многие сайты при регистрации требуют делать пароль не короче 6 или 8 символов и использовать в нем буквы разных регистров и цифры, а часть из них тем или иным образом показывает пользователю оценку сложности пароля, основанную на его энтропии, но так делают далеко не все сайты.
Исследователи под руководством Стивена Фёрнелла (Steven Furnell) оценили эффективность разных способов уведомления пользователя о слабом пароле. Для этого они провели два эксперимента. В первом участвовало 300 пользователей, которых просили завести аккаунт и придумать пароль для него. Пользователей разбили на пять групп, каждой из которых показывали разные варианты советов возле поля ввода пароля:
Во время второго эксперимента 500 других участников также просили придумать пароль, но их разбили на четыре группы с разными подсказками о сложности:
Ранее ученые показали, что добавление в пароль цифр или букв с разным регистром увеличивают стойкость пароля не так сильно, как использование специальных символов ASCII или простое удлинение пароля с тем же набором символов.
Григорий Копиев