На многих сайтах при установке пароля работают визуальные индикаторы, которые сообщают о надёжности выбранного пароля: слабый, средний или хороший. Но выясняется, что эти индикаторы показывают довольно противоречивые результаты, а иногда просто вводят в заблуждение.
Таковы результаты исследования, проведённого специалистами из университета Конкордия в Монреале (Канада). Они проверили работоспособность индикаторов силы пароля на многих крупных сайтах интернета, в том числе на Google, Yahoo, Twitter и Microsoft/Skype, а также парольных менеджеров LastPass и 1Password. С помощью созданного алгоритма через индикаторы прогоняли миллионы паролей.
Выяснилось, что индикаторы часто переоценивают силу пароля и считают надёжными пароли, которые таковыми не являются. Более того, на разных сайтах индикаторы показывают разный результат: «плохой» пароль для одного индикатора может оказаться «хорошим» для другого. Самый яркий пример — пароль “Password1”, который получил весь диапазон оценок: от очень низкой на Dropbox до очень высокой на Yahoo. Три разных индикатора от Microsoft поставили ему три разные оценки: Microsoft v1 посчитал его сильным, Microsoft v2 — слабым, а Microsoft v3 — средним.
Программы Microsoft v2 и v3 продемонстрировали максимальную силу для минимального количества паролей, а вот Google — для более 5,8 млн проверенных вариантов (около 66%).
В таблице показан процент частичного совпадения словарей, относительно общей словарной базы (Top500 соответствует phpBB).
http://romanakamagician.tumblr.com/
27.03.2015 в 10:38
Нет стандарта оценки эффективности стойкости пароля, так что и не удивительно.
29.03.2015 в 03:04
вообще то есть, пароль должен быть не менее 8 символов и должен состоять из: a-z, A-Z, 0-9, !@# символов. При этом он должен быть уникальный, и не должен ни где встречаться. Вот к примеру: DKtceHjlvkfcm~KjxmrfDKtceJyfHjckf — запомнить очень легко, ибо это: ВЛесуРодиласьЁлочькаВЛесуОнаРосла
29.03.2015 в 07:32
Это прямо вот стандарт? И кем же признан этот стандарт? Как проверялка паролей должна узнать, что он «ни где» не встречается? Ёлочька — это хорошо, не словарное слово. Ещё лучше писать его кириллицей с пробелами в неправильных местах. Кстати, на маках в сафари вообще нет возможности писать пароль кириллицей, или я плохо пробовал. Когда ставишь курсор в input type=password, раскладка переключается на латиницу и назад не хочет. А вот некоторые сайты по какой-то причине требуют, чтобы пароль состоял только из латиницы и цифр. Ни тебе 䕱, ни ॔.
30.03.2015 в 09:39
К слову сказать, не все сайты принимают пароли со спецсимволами, а только с A-Z, a-z, 1-9. И что значит должен быть уникальный? Т.е. не быть ни у кого в базе паролей на этом сайте? Как еще индикатор сложности может проверить уникальность?
27.03.2015 в 11:16
кто нибудь вообще на эти индикаторы смотрит?
27.03.2015 в 19:09
Может и не нужны, но некоторые сайты не пропускают регистрацию, если пароль «слабый»
27.03.2015 в 12:07
да вроде уже пароли взламывать не актуально, когда пользователи их сами приносят на блюдечке. Зато очень напрягает когда вводишь новый пароль, а он должен содержать цифру, букву верхнего регистра, букву нижнего регистра, какой нибудь символ и еще не меньше 8 знаков, а сервис потом попросить поменять в след квартал…
27.03.2015 в 13:13
Особенно бесит paypal. Там система не принимает пароли, которые ей не нравятся хоть чуть-чуть, без поллитра не придумаешь.
27.03.2015 в 18:38
увеличьте длину на несколько символов, и можете забыть о неалфавитно-цифровых символах в пароле.
27.03.2015 в 12:25
Leet
Как-то ровно идёт.
27.03.2015 в 13:18
(Top500 соответствует phpBB)
27.03.2015 в 22:34
В разных дистрах линукс тоже самое. Для минт неплохой, а для дебиан плохой. Или для дебиан хороший, а манжаро такой же не хочет регистрировать.
28.03.2015 в 00:31
Вы такой наблюдательный