Эксперты провели сравнительный анализ надежности трех видов паролей
Эксперт компьютерной лаборатории Кембриджского университета Росс Андерсон (Ross Anderson) в своей книге «Инженерия безопасности. Издание 2-е» («Security Engineering 2nd Edition») описал исследования паролей на предмет их надежности. Эксперты решили установить, какие пароли (выдуманные пользователями, сгенерированные случайно, или составленные на основе парольных фраз) являются самыми надежными.
В эксперименте приняло участие 300 студентов университета. Добровольцы были разделены на три группы («красная», «желтая» и «зеленая») по сто человек в каждой. Участники «красной» группы самостоятельно придумывали пароли, состоящие из 8 символов, как минимум, один из которых не являлся буквой. Студенты из «желтой» группы придумывали пароль, состоящий из первых букв и знаков препинания известных фраз или поговорок (например, пароль "Wyc-swyg" получился из "What you see is what you get"). «Зеленая» группа получила сто случайно сгенерированных паролей. Участники должны были запомнить их и уничтожить.
Таким образом, исследователи хотели выяснить, насколько хорошо пользователи запоминают пароли и степень возможности подобрать (взломать) пароль. Результаты исследования оказались для экспертов несколько неожиданными. Им удалось успешно взломать 30% паролей, придуманных участниками «красной» группы, в то время, как для «желтой» и «зеленой» групп этот показатель равняется всего 10%. Из этого следует, что случайно сгенерированные пароли, а также пароли, созданные из фраз, являются сравнительно безопасными.
Кроме того, оказалось, что участники «красной» и «зеленой» групп с легкостью запомнили свои пароли, тогда как студенты «желтой» группы испытывали некоторые трудности, тем не менее, все три группы обращались в службу поддержки за сбросом пароля примерно с одинаковой частотой
В эксперименте приняло участие 300 студентов университета. Добровольцы были разделены на три группы («красная», «желтая» и «зеленая») по сто человек в каждой. Участники «красной» группы самостоятельно придумывали пароли, состоящие из 8 символов, как минимум, один из которых не являлся буквой. Студенты из «желтой» группы придумывали пароль, состоящий из первых букв и знаков препинания известных фраз или поговорок (например, пароль "Wyc-swyg" получился из "What you see is what you get"). «Зеленая» группа получила сто случайно сгенерированных паролей. Участники должны были запомнить их и уничтожить.
Таким образом, исследователи хотели выяснить, насколько хорошо пользователи запоминают пароли и степень возможности подобрать (взломать) пароль. Результаты исследования оказались для экспертов несколько неожиданными. Им удалось успешно взломать 30% паролей, придуманных участниками «красной» группы, в то время, как для «желтой» и «зеленой» групп этот показатель равняется всего 10%. Из этого следует, что случайно сгенерированные пароли, а также пароли, созданные из фраз, являются сравнительно безопасными.
Кроме того, оказалось, что участники «красной» и «зеленой» групп с легкостью запомнили свои пароли, тогда как студенты «желтой» группы испытывали некоторые трудности, тем не менее, все три группы обращались в службу поддержки за сбросом пароля примерно с одинаковой частотой