Веб-консультант вважає, що вимірювальні прилади не вимірюють справжню силу паролів - Обчислення - 2019

Anonim

Ми всі пройшли процес спроби підписатись на веб-сайт, аби сказати, що наш пароль недостатньо сильний. Але ці вимірювачі потужності пароля можуть бути не все, на що вони зіткнулися, і це може дати лише ілюзію безпеки.

За словами Марка Стоклі, засновника веб-консалтингу Compound Eye, ці вимірювальні прилади фактично не вимірюють сили взагалі. Стоклі провів п'ять різних вимірювачів паролів, спочатку в березні 2015 року, а потім через 18 місяців. Він каже, що ніхто з них не поліпшився протягом цього часу.

Пишучи для Sophos, він пояснив, що паролі просто намагаються виміряти, скільки часу потрібно для того, щоб зламати пароль. Метр на веб-сайті зазвичай пропонує використовувати довгий пароль із символами верхнього та нижнього регістру та символами, як знаки питання та знаки оклику.

"Сильний пароль - це той, який дуже стійкий до спроб розбити його за допомогою онлайнових або офлайнових атак", - сказав він. "Єдиний хороший спосіб виміряти сили пароля - це спробувати його розбити - серйозно і серйозно трудомісткий бізнес, який вимагає спеціалізованого програмного забезпечення та дорогого обладнання".

У рамках своїх тестів Стоклі провів п'ять паролів, які він вважав жахливими через лічильники. Якщо метрів було дорівнює номі, вони відмовилися б від них. П'ять паролів - "abc123", "trustno1", "ncc1701", "primetime21" і "iloveyou!". Найчастіше паролі пройшли вимірювальний пристрій, деякі отримали "гарний" або "нормальний" результат.

Щоб ще підтвердити свої висновки, Стоклі був в змозі зламати ці п'ять паролів за допомогою інструмента з відкритим вихідним кодом Джоном Ріппером, чітко визначивши, що паролі не були вирізані для захисту ваших облікових записів.

Тож протягом року більше нічого не покращилося. У своїх останніх тестах Стоклі додав шостий метр пароля - дуже популярний zxcvbn, який використовується Dropbox і WordPress. Вона вважає всі п'ять страшних паролів "дуже слабкими", що позначають щось поліпшення.

Однак, Стоклі все ще залишається високо критичним щодо вимірювачів паролів, які "забруднюють воду помилковою або неоднозначною термінологією та кольорами" та закликали до використання двофакторної аутентифікації.