Верхнее

Российские пароли. Всё так плохо?

Компания Positive Technologies опубликовала результаты своего иследования под названием «Анализ проблем парольной защиты в российских компаниях».
В результате изучения 185 тысяч паролей были получены следующие результаты (цитата):

  • В целом результаты аналогичных исследований, проводимых за рубежом, отличаются от полученных результатов проведенного исследования в отношении используемых паролей российскими пользователями;
  • Наиболее распространенными паролями у российских пользователей являются пароли, состоящие только из цифр, на долю которых приходится приблизительно 53% от числа всех проанализированных паролей;
  • 88% используемых паролей – это пароли, содержащие в себе либо цифры, либо символы английского алфавита в нижнем регистре, либо и то и другое;
  • Используемые пароли российскими пользователями в большинстве случаев не превышают 8-ми символов и лишь единицы используют пароли длиннее 12-ти символов;
  • 74% используемых паролей пользователями в корпоративном секторе не соответствуют требованиям стандарта PCI DSS. (конец цитаты)

В целом исследование интересное, но с вполне предсказуемыми результатами. Немного неясным осталась методика оценки вероятности компроментации пароля в реальных условиях. Автор, к сожалению, не раскрыл своего подхода к этой оценки. В самом общем случае на вероятность взлома пароля конкретной длины для доступа к корпоративному ресурсу помимо прочих факторов влияют:

  • количество разрешённых попыток ввода неправильного пароля;
  • время блокировки учётной записи после превышения такого количества;
  • время реакции администратора на многократные блокировки учётной записи по причине превышения попыток входа с неправильным паролем.

Для всех паролей длиной от 1 до 7 символов указана вероятность компроментации более чем в 50% (от 99.29% для 1-символьного до 63,13% для 7-символьного), что трудно признать соответствующим действительности.

Предлагаю всем желающим, в том числе и специалистам компании Positive Technologies подобрать 8-символьный пароль от почтового ящика ugadaikamoiparol@gmail.com Согласно исследованию вероятность взлома должна быть 41,41%. Проверим? =)

,