Анализ повторного использования паролей при рассмотрении данных,
просочившихся при взломе Sony и
Gawker, обнаруживает,
что безопасность пользовательских паролей еще хуже, чем мы могли ожидать.
Миллион паролей пользователей Sony и 250 000 паролей Gawker хранились в
незашифрованном виде и просочились во время отдельных взломов. В каждом случае
хакеры опубликовывали данные паролей на торрент-трекерах.
Анализ, проделанный исследователем безопасности Троем Хантом, показал, что
две трети пользователей с аккаунтами в Sony и Gawker применяли одинаковые пароли
на обоих сайтах. Данное заключение основано на достаточно небольшой выборке из
88 email адресов, подвергнувшихся взлому как вовремя атак на Sony, так и на
Gawker. Однако данные, собранные Хантом, и относящиеся лишь ко взлому Sony,
говорят о том, что это вряд ли является статистической причудой. Напротив, по
любым показателям, безопасность пользовательских паролей, проявившаяся во время
взлома Sony, внушает ужас.
Половина образцов паролей, подвергшихся взлому во время атаки на Sony,
использовала лишь один тип символов, и только в одном из ста паролей
использовались не буквенно-цифровые символы, подобная ситуация
наблюдалась и во время
взлома Gawker. Лишь 4% этих паролей имели три или более символьных типа.
Четыре из пяти паролей в 37 608 образцах, утекших во время нападения на Sony,
встречались лишь однажды. Около 36% паролей оказались в парольном словаре -
данный фактор делает их предельно открытыми для брутфорс атак в тех случаях,
когда во время взлома просочилась лишь база данных с хешированными паролями.
Хант полагает, что более четырех из пяти (82%) паролей могут быть вычислены при
помощи радужной таблицы.
Хант пришел к заключению, что безопасным является лишь тот пароль, который
"ты не можешь запомнить".
"Все это не слишком удивительно, хотя продолжает беспокоить", - написал он.
"Мы знаем, что пароли слишком короткие, слишком простые, слишком предсказуемые и
очень похожи на пароли, применяемые пользователем на других сайтах".
