Анализ грамматических зависимостей в парольной фразе

Discussion in 'Мировые новости. Обсуждения.' started by zeks, 23 Jan 2013.

  1. zeks

    zeks New Member

    Joined:
    11 Jan 2013
    Messages:
    76
    Likes Received:
    2
    Reputations:
    1
    Учёные из Карнеги-Меллона опубликовали любопытное исследование (http://www.cs.cmu.edu/~agrao/paper/Effect_of_Grammar_on_Security_of_Long_Passwords.pdf), в котором опубликовали результаты анализа алгоритма для взлома длинных парольных фраз, составленных из нескольких слов, таких как thispasswordrules или abiggerbetterpassword. Учёные составили граф сочетаемости различных слов друг с другом. Оказалось, что в языке не так уж много комбинаций слов: за одним конкретным словом почти всегда следует ограниченное количество других, вполне определённых, слов. Существует жёсткая грамматическая зависимость частей парольной фразы.

    Длинные пароли из 20-25 символов обычно считаются устойчивыми к брутфорсу, но при использовании алгоритмов с анализом грамматических связей они подбираются гораздо быстрее. Другими словами, стойкость пароля вовсе не увеличивается пропорционально его длине, если парольная фраза составляется из логически связанных слов. И энтропия парольной фразы вычисляется вовсе не так, как энтропия случайного набора символов.

    Учёные разработали Proof-of-concept алгоритм для «взлома» грамматических конструкций и увеличения эффективности атаки по словарю. Для брутфорса парольных фраз используются текстовые корпусы, такие как Brown Corpus или Google Web Corpus. Каждый корпус содержит совокупность текстов, размеченных по определённому стандарту и обеспеченных специализированной поисковой системой. Например, на диаграмме ниже показана статистика Brown Corpus: 1,16 млн слов, из них только 49,8 тыс. уникальных слов, половина из которых — существительные.

    [​IMG]

    В вышеупомянутом алгоритме учитываются только простые замены символов (O - 0) или добавление дополнительных символов к грамматической конструкции. Такие «хитрости» довольно часто встречаются у пользователей, которых просят составить длинную парольную фразу.

    Интересно, что энтропия пароля многократно возрастает, если автор пароля — малограмотный человек и допустил несколько грамматических ошибок в пароле. У специалистов пока отсутствуют словари с наиболее распространёнными ошибками в правописании для каждого слова английского языка, так что на практике эффективно подбирать пароли с ошибками сейчас практически невозможно. Таким образом, даже очень грамотным людям при составлении парольной фразы можно порекомендовать сделать несколько непредсказуемых ошибок: это значительно усложнит задачу злоумышленникам. Естественно, парольную фразу лучше придумать как можно длиннее: 50-60 или больше символов, для надёжности.

    источник
    22.01
     
    #1 zeks, 23 Jan 2013
    Last edited: 23 Jan 2013
(You must log in or sign up to post here.)