На многих сайтах при установке пароля работают визуальные индикаторы, которые сообщают о надёжности выбранного пароля: слабый, средний или хороший. Но выясняется, что эти индикаторы показывают довольно противоречивые результаты, а иногда просто вводят в заблуждение.

Таковы результаты исследования, проведённого специалистами из университета Конкордия в Монреале (Канада). Они проверили работоспособность индикаторов силы пароля на многих крупных сайтах интернета, в том числе на Google, Yahoo, Twitter и Microsoft/Skype, а также парольных менеджеров LastPass и 1Password. С помощью созданного алгоритма через индикаторы прогоняли миллионы паролей.

Выяснилось, что индикаторы часто переоценивают силу пароля и считают надёжными пароли, которые таковыми не являются. Более того, на разных сайтах индикаторы показывают разный результат: «плохой» пароль для одного индикатора может оказаться «хорошим» для другого. Самый яркий пример — пароль “Password1”, который получил весь диапазон оценок: от очень низкой на Dropbox до очень высокой на Yahoo. Три разных индикатора от Microsoft поставили ему три разные оценки: Microsoft v1 посчитал его сильным, Microsoft v2 — слабым, а Microsoft v3 — средним.

Программы Microsoft v2 и v3 продемонстрировали максимальную силу для минимального количества паролей, а вот Google — для более 5,8 млн проверенных вариантов (около 66%).

В таблице показан процент частичного совпадения словарей, относительно общей словарной базы (Top500 соответствует phpBB).

003

13 комментария

  1. Аватар

    http://romanakamagician.tumblr.com/

    27.03.2015 в 10:38

    Нет стандарта оценки эффективности стойкости пароля, так что и не удивительно.

    • Аватар

      29.03.2015 в 03:04

      вообще то есть, пароль должен быть не менее 8 символов и должен состоять из: a-z, A-Z, 0-9, !@# символов. При этом он должен быть уникальный, и не должен ни где встречаться. Вот к примеру: DKtceHjlvkfcm~KjxmrfDKtceJyfHjckf — запомнить очень легко, ибо это: ВЛесуРодиласьЁлочькаВЛесуОнаРосла

      • Аватар

        29.03.2015 в 07:32

        Это прямо вот стандарт? И кем же признан этот стандарт? Как проверялка паролей должна узнать, что он «ни где» не встречается? Ёлочька — это хорошо, не словарное слово. Ещё лучше писать его кириллицей с пробелами в неправильных местах. Кстати, на маках в сафари вообще нет возможности писать пароль кириллицей, или я плохо пробовал. Когда ставишь курсор в input type=password, раскладка переключается на латиницу и назад не хочет. А вот некоторые сайты по какой-то причине требуют, чтобы пароль состоял только из латиницы и цифр. Ни тебе 䕱, ни ॔.

      • Аватар

        30.03.2015 в 09:39

        К слову сказать, не все сайты принимают пароли со спецсимволами, а только с A-Z, a-z, 1-9. И что значит должен быть уникальный? Т.е. не быть ни у кого в базе паролей на этом сайте? Как еще индикатор сложности может проверить уникальность?

  2. Аватар

    27.03.2015 в 11:16

    кто нибудь вообще на эти индикаторы смотрит?

    • Аватар

      27.03.2015 в 19:09

      Может и не нужны, но некоторые сайты не пропускают регистрацию, если пароль «слабый»

  3. Аватар

    27.03.2015 в 12:07

    да вроде уже пароли взламывать не актуально, когда пользователи их сами приносят на блюдечке. Зато очень напрягает когда вводишь новый пароль, а он должен содержать цифру, букву верхнего регистра, букву нижнего регистра, какой нибудь символ и еще не меньше 8 знаков, а сервис потом попросить поменять в след квартал…

    • Аватар

      27.03.2015 в 13:13

      Особенно бесит paypal. Там система не принимает пароли, которые ей не нравятся хоть чуть-чуть, без поллитра не придумаешь.

    • Аватар

      27.03.2015 в 18:38

      увеличьте длину на несколько символов, и можете забыть о неалфавитно-цифровых символах в пароле.

  4. Аватар

    27.03.2015 в 12:25

    Leet
    Как-то ровно идёт.

  5. Аватар

    27.03.2015 в 22:34

    В разных дистрах линукс тоже самое. Для минт неплохой, а для дебиан плохой. Или для дебиан хороший, а манжаро такой же не хочет регистрировать.

Оставить мнение