Надійність пароля є мірою ефективності пароля від вгадування або брутфорс атак. У своїй звичайній формі, він оцінює, скільки спроб зловмисникові, не маючи прямого доступу до пароля, потрібно, в середньому, щоб правильно вгадати його. Сила пароля — це функція, що враховує довжину, складність і непередбачуваність.[1]

Меню налаштувань програми генерації паролів. Включення символів підмножин підвищує надійність згенерованих паролів, так само як і збільшення довжини.

Використання складних паролів знижує загальний ризик виникнення порушення безпеки, але складні паролі не заміняють необхідність для інших ефективних заходів безпеки. Ефективність пароля заданої міцності в значній мірі визначається розробкою і включенням інших факторів.

Швидкість, з якою зловмисник може підібрати вгадувані паролі до системи є ключовим чинником у визначенні системи безпеки. Деякі системи накладають тайм-аут на кілька секунд після невеликої кількості (наприклад, трьох невдалих спроб введення) пароля. При відсутності інших вразливостей, такі системи можуть бути ефективно забезпечені порівняно простими паролями. Однак система повинна зберігати інформацію про користувача, паролі в тій або іншій формі і якщо ця інформація вкрадена, то у такому випадку оповіщають, що система безпеки, паролі користувачів можуть опинитися під загрозою.

Створення пароля ред.

Паролі можуть бути створені або автоматично (використовуючи рандомізацію), або людиною; останній випадок є більш поширеним. У той час як надійність випадково створених паролів від перебору може бути розрахована з точністю, то визначення міцності людського паролів є складнішим завданням.

Як правило, людей просять вибрати пароль, іноді керуючись пропозиціями або обмеженим набором правил, при створенні нового облікового запису в комп'ютерній системі або на інтернет-сайті. Тільки груба оцінка міцності пароля можлива, оскільки люди схильні діяти за шаблоном у таких завданнях, і ці моделі, як правило, допомагають зловмисникові. Крім того, списки найпопулярніших паролів широко доступні для використання програмами підбору пароля. Такі списки включають безліч онлайн-словників для різних мов, вкрадені бази даних незашифрованих паролів і найпопулярніші паролі у сфері інтернет-бізнесу та соціальних мереж, поряд з іншими поширеними паролями. Всі паролі в таких списках вважаються слабкими, як і самі паролі, так і їхні прості модифікації.

Є 2 популярних способи створення пароля: генерування випадкових символів (класичний) та новіший — генерація речення (passphrase) шляхом вибору випадкових слів із словника. Паролі отримані другим способом легше запамʼятати, але зазвичай вони довші за паролі отримані генеруванням послідовності випадкових символів.

Перевірка вгадалого пароля ред.

Системи, які використовують паролі для аутентифікації, повинні мати можливість перевірити будь-який пароль на можливість отримання доступу. Якщо дійсні паролі зберігаються у файловій системі або у базі даних, зловмисник, який отримує достатній доступ до системи, може отримати всі паролі користувачів, надаючи атакуючому доступ до всіх облікових записів на атакованій системі, і, можливо, інших систем, де користувачі використовують однакові або схожі паролі. Один зі способів зменшити цей ризик є зберігання тільки криптографічного хешу кожного пароля, а не самого пароля. Стандартні криптографічні хеш-функції, такі як SHA-2, не дозволяють підібрати пароль до хешу за раціональний час, а тому зловмисник, якому до рук потрапили хеш-значення, не може безпосередньо відновити пароль. Однак, знання хеш-значення дозволяє зловмисникові швидко перевірити здогади в автономному режимі. Для підвищення безпеки хешування до пароля перед хешуванням додають певне випадкове значення — "сіль", щоб хеші однакових паролів не були однаковими. Використання "солі" під час хешування захищає від атак із словником — коли зловмисник наперед підбирає хеші до популярних паролів і звіряє їх із хешами, для яких потрібно підібрати пароль. Словник наперед підібраних хешів називають Райдужною таблицею.

Оцінка надійності пароля через ентропію ред.

Зазвичай надійність паролів визначається через кількість ентропії — поняття із теорії інформації, яке вимірюється в бітах. Замість кількості спроб потрібних для того, щоб точно дізнатись пароль використовують логарифм за основою 2 від цього числа, це і є кількість ентропії (в бітах) цього пароля. Наприклад пароль із 42 бітами ентропії буде відповідати за надійністю бітовому рядку, отриманому підкиданням монети 42 рази. Для того, щоб точно підібрати такий пароль знадобиться 242 (4,398,046,511,104) спроб. Кожен новий біт ентропії збільшує складність пароля вдвічі, що вдвічі ускладнює завдання для зловмисника. В середньому зловмиснику доведеться спробувати половину можливих варіантів для успішного підбору пароля[2].

Паролі вигадані людьми ред.

Люди погано вміють вигадувати паролі. Паролі вигадані людьми зазвичай недостатньо випадкові - в середньому 40.54 біти ентропії[3], це повʼязано із поганим сприйняттям випадковості[4] людьми (наприклад число 20 здається менш випадковим за число 17, але насправді рівень випаковість визначається лише способом генерації числа, а не самим числом, тому 17 і 20 мають однаковий рівень випадковості якщо згенеровані однаковим способом). Також намагаючись обрати випадкові послідовності символів для створення пароля люди не використовують всі символи рівномірно (наприклад літера "e" використовується набагато частіше за літеру "f"[5], при цьому якби люди обирали символи випадково, то кожна літера використовувалась би приблизно однакову кількість разів).

Див. також ред.

Примітки ред.

  1. Cyber Security Tip ST04-002. Choosing and Protecting Passwords. US CERT. Архів оригіналу за 7 липня 2009. Процитовано 20 червня 2009. 
  2. SP 800-63 – Electronic Authentication Guideline (Англійською). Архів оригіналу за 12 липня 2004. Процитовано 29 квітня 2018. 
  3. Florencio, Dinei; Herley, Cormac (1 листопада 2006). A Large Scale Study of Web Password Habits. Microsoft Research (амер.). Архів оригіналу за 7 червня 2022. Процитовано 29 квітня 2018. 
  4. People’s intuitions about randomness and probability: an empirical study (Англійська). Université de Rouen. Архів оригіналу за 2 січня 2019. Процитовано 29 квітня 2018. 
  5. Burnett, Mark (2006). Perfect Passwords (Англійською). Rockland, Massachusetts: Syngress Publishing. ISBN 1-59749-041-5.