Грамматические ошибки повышают надежность паролей

Александр Панасенко 18 Января 2013 - 12:15

...

Группа ученых из американского университета Карнеги-Меллон предлагает обитателям глобальной сети простой и эффективный способ защиты персональных учетных записей от взлома. При выборе пароля, предназначенного для входа на различные сайты, исследователи рекомендуют использовать слова и фразы, написанные с ошибками.

Многим интернет-пользователям известно, что дата собственного дня рождения, кличка домашнего любимца или название родного города являются классическими образцами небезопасного пароля. Однако, большинство владельцев компьютеров уверены в том, что надежность пароля напрямую зависит от количества символов. Специальный алгоритм, разработанный учеными в демонстрационных целях, без труда опровергает это распространенное заблуждение, передает soft.mail.ru.

«Самые хитроумные пользователи пытаются решить проблему путем увеличения длины пароля. Однако им также необходимо сделать кодовое слово легко запоминающимся. Так на свет появляются сложные конструкции, состоящие из нескольких слов или фраз, такие как «длинныйиоченьнадежныйпароль. – объясняет руководитель исследовательской группы Ашвини Рао (Ashwini Rao), – Однако для нашего алгоритма такие пароли не являются серьезной преградой, также как и другие осмысленные сочетания символов, например, почтовый адрес, адрес электронной почты или URL».

В отличие от стандартных атак «brute force», которые заключаются в подстановке отдельных слов из словаря, новая методика позволяет испытывать пароли на прочность путем перебора различных сочетаний слов. Ашвини Рао утверждает, что во время проводимых испытаний алгоритм смог без труда подобрать 10% длинных паролей, представляющих собой осмысленную фразу.

А учитывая стремительно растущие вычислительные мощности современных систем, на решение этой задачи уходит все меньше и меньше времени. Не самый дорогой компьютер, стоимостью в 3000 долларов, способен осуществлять перебор паролей со скоростью до 33 миллиардов вариантов в секунду.

Зато такой простой способ, как намеренное искажение известных слов срабатывает «на ура». Таким образом, грамматические ошибки, намеренно допущенные пользователем, способны существенно снизить эффективность атак, проводимых с применением «грубой силы».

Ученые готовы поделиться своими наблюдениями и продемонстрировать работу алгоритма на конференции «Conference on Data and Application Security and Privacy», которая состоится в городе Сан-Антонио в следующем месяце.

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 11 Марта 2026 - 13:58

Соответствие законодательству РФ Корпорации Государство Средства криптографической защиты информации Защита критически важных объектов Соответствие требованиям регуляторов ГК «Солар»

ЗАСТАВА 8 получила веб-управление и сертификацию ФСБ для ГИС и КИИ

ГК «Солар» сообщила об обновлении линейки средств криптографической защиты информации «ЗАСТАВА» до версии 8. Решение сертифицировано ФСБ России и рассчитано в первую очередь на операторов государственных информационных систем и объектов критической информационной инфраструктуры, для которых требования к защите каналов связи особенно жёсткие.

Речь идёт о средствах защиты сетевых соединений и удалённого доступа, которые должны одновременно соответствовать требованиям регуляторов, обеспечивать надёжное шифрование и не ломать уже существующую инфраструктуру.

В компании подчёркивают, что новая версия построена на сочетании российских алгоритмов ГОСТ и международного стандарта IPsec, а сама линейка готова к использованию без дополнительной глубокой перестройки сети.

Отдельный акцент в версии 8 сделан на управлении. Если раньше для настройки VPN-шлюзов требовался так называемый «толстый» клиент с жёсткой привязкой к рабочему месту администратора, то теперь управление вынесено в веб-интерфейс.

Через систему «ЗАСТАВА-Управление» можно централизованно настраивать политики безопасности, обновлять программное обеспечение и управлять ключами для большого числа устройств из одной консоли.

По сути, это означает более удобное администрирование для распределённых инфраструктур. В компании считают, что такой подход позволяет сократить трудозатраты и уменьшить эксплуатационные расходы, в том числе за счёт отказа от части выездных работ в филиалы. По оценке разработчика, снижение совокупной стоимости владения может достигать 15%.

В технической части у решения заявлены механизмы автоматической балансировки нагрузки между криптошлюзами и два режима кластеризации — Active-Passive и Active-Active. Первый нужен для отказоустойчивости при сбоях оборудования, второй — для распределения нагрузки, например, при подключении большого числа удалённых пользователей. В версии 8 количество управляемых объектов, как утверждается, архитектурно не ограничено, поэтому линейка рассчитана как на сравнительно небольшие инсталляции, так и на крупные распределённые сети.

Ещё одна важная деталь — обратная совместимость. Новые устройства могут работать в одной сети с уже установленными, поэтому переход на новую версию можно проводить поэтапно, без полной одномоментной замены оборудования и без остановки бизнес-процессов.

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!