Ίσως όχι τόσο δυνατοί, όσο νομίζετε! Οι password-strength μετρητές είναι συχνά παραπλανητικοί !!!!!!
Εάν στηρίζεστε σε μετρητές ισχυρότητας κωδικών ( password -strength meters) για να καθορίσετε πόσο ισχυρός είναι ο κωδικός πρόσβασής σας, έχουμε μερικά άσχημα νέα για σας.
Οι μετρήσεις ισχυρότητας είναι εξαιρετικά ασυνεπείς και μπορεί ακόμη και να σας οδηγούν σε λάθος δρόμο, σύμφωνα με μια νέα μελέτη από ερευνητές στο Πανεπιστήμιο Concordia:
Σε μια μεγάλης κλίμακας εμπειρική ανάλυσή μας, είναι προφανές ότι οι συνήθως χρησιμοποιούμενες μετρήσεις ισχυρότητας είναι εξαιρετικά ασυνεπείς, αποτυγχάνουν να παρέχουν συνεκτική ανατροφοδότηση, και μερικές φορές παρέχουν μετρήσεις αντοχής που είναι κατάφωρα παραπλανητικές.
Οι ερευνητές Xavier de Carné de Carnavalet και Mohammad Mannan αξιολόγησαν τις μετρήσεις αντοχής κωδικών πρόσβασης που χρησιμοποιούνται από πολλές δημοφιλείς ιστοσελίδες και από διαχειριστές κωδικών πρόσβασης.
Ανάμεσα σε αυτές που συμμετείχαν στην έρευνα περιλαμβάνεται η Apple, το Dropbox , το Drupal, το Google, το eBay, η Microsoft, η PayPal, το Skype, το Tencent QQ, το Twitter, το Yahoo και ο ρώσικος φορέας παροχής e-mail Yandex Mail.
Οι ερευνητές επίσης εξέτασαν δημοφιλείς διαχειριστές κωδικών πρόσβασης, συμπεριλαμβανομένων των LastPass, 1Password, και KeePass. Επίσης στην έρευνά τους πρόσθεσαν την FedEx και το κέντρο εξυπηρέτησης πελατών της China Railway για ποικιλομορφία.
Οι De Carné de Carnavalet και Mannan έπειτα συγκέντρωσαν μια λίστα με σχεδόν 9,5 εκατομμύρια κωδικούς πρόσβασης διαθέσιμους από δημόσια dictionaries, συμπεριλαμβανομένων πινάκων από πραγματικές διαρροές κωδικών πρόσβασης, και τους έτρεξαν μέσα από αυτές τις υπηρεσίες κατά τη διάρκεια της έρευνάς τους.
Αναποτελεσματικοί οι κανόνες
Οι μετρητές αντοχής κωδικών συνήθως κοίτανε τους συνδυασμούς των χαρακτήρων από τους οποίους αποτελείται ένας κωδικός (όπως π.χ. πεζά και κεφαλαία γράμματα, αριθμοί και σύμβολα). Κάποιοι προσπάθησαν να ανιχνεύσουν κοινές λέξεις ή αδύναμα μοτίβα.
Ωστόσο, οι μετρητές ισχυρότητας που εξετάζουν την σύνθεση του κωδικού συχνά αγνοούν άλλα πρότυπα τα οποία εύκολα παραβιάζονται, επίσης δεν λαμβάνουν υπόψη τις «Leet» μεταμορφώσεις για παράδειγμα, που αντικαθιστούν το γράμμα l, με τον αριθμό 1, σ’ έναν λογαριασμό.
Οι Hackers, φυσικά, που προσπαθούν να σπάσουν κωδικούς πρόσβασης συχνά δοκιμάζουν αυτές τις παραλλαγές.
Αντιφατικά αποτελέσματα
Αρκετά συγκεχυμένα ειναι τα αποτελέσματα της έρευνας, όπου σχεδόν πανομοιότυποι κωδικοί εξέδωσαν πολύ διαφορετικά αποτελέσματα. Για παράδειγμα, ο κωδικός Paypal01 θεωρήθηκε αδύναμος σύμφωνα με τα πρότυπα του Skype, αλλά ισχυρός από το PayPal.
Ο κωδικός Password1 θεωρήθηκε πολύ αδύναμος από το Dropbox, αλλά πολύ ισχυρός από το Yahoo !, και έλαβε τρία διαφορετικά αποτελέσματα από τρεις Microsoft checkers (strong, weak, and medium).
Ο κωδικός πρόσβασης #football1 θεωρήθηκε επίσης πολύ αδύναμος από το Dropbox, αλλά για το Twitter ήταν τέλειος.
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου