Сравнение с другими пользователями заставило усилить пароль

Если сайт показывает пользователям оценку сложности их пароля, доля слабых паролей падает с 75 до 35 процентов. Еще большего улучшения паролей можно добиться, если сравнивать их с паролями других пользователей или рассказывать о том, сколько времени понадобится злоумышленникам на подбор пароля, сообщается в журнале Computers & Security.

Сложность пароля обычно определяется тем, сколько попыток нужно злоумышленнику для подбора пароля методом полного перебора. Как правило, для определения сложности пароля используют информационную энтропию, величина которой определяется как двоичный логарифм от количества попыток для полного перебора. Энтропия пароля зависит от его длины и того, какой набор символов в нем используются. Из-за этого многие сайты при регистрации требуют делать пароль не короче 6 или 8 символов и использовать в нем буквы разных регистров и цифры, а часть из них тем или иным образом показывает пользователю оценку сложности пароля, основанную на его энтропии, но так делают далеко не все сайты.

Исследователи под руководством Стивена Фёрнелла (Steven Furnell) оценили эффективность разных способов уведомления пользователя о слабом пароле. Для этого они провели два эксперимента. В первом участвовало 300 пользователей, которых просили завести аккаунт и придумать пароль для него. Пользователей разбили на пять групп, каждой из которых показывали разные варианты советов возле поля ввода пароля:

Просьба не использовать старые пароли

Базовые советы о длине пароля, использовании разных типов символов и не использовании личной информации

Стандартная полоска сложности пароля с тремя классами (слабый, средний, сильный)

Эмодзи, соответствующий классу сложности

Эмодзи с советом, например, «Нормально, но ты мог бы придумать получше»

Выяснилось, что среди пользователей, не получавших почти никаких подсказок (первая группа) доля слабых паролей была на уровне 75 процентов. Среди всех остальных групп доля значительно упала: до уровня от 45 процентов у второй и третьей группы и до 35 процентов у последней группы, которые видели эмодзи с советом.

Во время второго эксперимента 500 других участников также просили придумать пароль, но их разбили на четыре группы с разными подсказками о сложности:

Простая оценка сложности с тремя классами

Оценка сложности и времени, требуемого на полный перебор

Оценка сложности и сравнение с паролями других пользователей, например, «Слабый пароль, входящий в 400 самых слабых»

Оценка сложности и вероятности совпадения пароля с паролем другого пользователя

Второй эксперимент показал еще большую разницу, если пользователь получает не просто величину сложности, а более наглядный и очевидный пример, такой как скорость подбора пароля или сравнение с худшими паролями. В этом эксперименте самой эффективной оказалась оценка сложности и сравнение с паролями других пользователей, например, «Слабый пароль, входящий в 400 самых слабых».

Ранее ученые показали, что добавление в пароль цифр или букв с разным регистром увеличивают стойкость пароля не так сильно, как использование специальных символов ASCII или простое удлинение пароля с тем же набором символов.

Григорий Копиев