На многих сайтах при установке пароля работают визуальные индикаторы, которые сообщают о надёжности выбранного пароля: слабый, средний или хороший. Но выясняется, что эти индикаторы показывают довольно противоречивые результаты, а иногда просто вводят в заблуждение.
Таковы результаты исследования, проведённого специалистами из университета Конкордия в Монреале (Канада). Они проверили работоспособность индикаторов силы пароля на многих крупных сайтах интернета, в том числе на Google, Yahoo, Twitter и Microsoft/Skype, а также парольных менеджеров LastPass и 1Password. С помощью созданного алгоритма через индикаторы прогоняли миллионы паролей.
Выяснилось, что индикаторы часто переоценивают силу пароля и считают надёжными пароли, которые таковыми не являются. Более того, на разных сайтах индикаторы показывают разный результат: «плохой» пароль для одного индикатора может оказаться «хорошим» для другого. Самый яркий пример — пароль “Password1”, который получил весь диапазон оценок: от очень низкой на Dropbox до очень высокой на Yahoo. Три разных индикатора от Microsoft поставили ему три разные оценки: Microsoft v1 посчитал его сильным, Microsoft v2 — слабым, а Microsoft v3 — средним.
Программы Microsoft v2 и v3 продемонстрировали максимальную силу для минимального количества паролей, а вот Google — для более 5,8 млн проверенных вариантов (около 66%).
В таблице показан процент частичного совпадения словарей, относительно общей словарной базы (Top500 соответствует phpBB).
