Автокоррекция пароля: безопасно ли это?

Ученные из Корнуэлльского Унивирсетета пришли к выводу, что автокоррекция пароля, это безопасно.

Что же такое автокоррекия?

Это автоматическое исправление ошибки при вводе пароля. Такую систему коррекции использует Facebook, автоматически исправляя регистр, если пользователь вместо маленькой буквы ввел большую. Безусловно, это очень удобно при случайной ошибке, но насколько это безопасно и не воспользуются ли этой технологией киберпреступники.

Исследования.

На недавно прошедшем симпозиуме IEEE по безопасности, ученные из Корнуэлльского Унивирсетета и специалисты Dropbox презентовали доклад об исследованиях в этой области. Они выяснили, что существует три основные причины ошибок при вводе паролей, первая заглавная буква в пароле, случайно нажатие клавиши CapsLock и  случайное добавление или удаление последнего символа в пароле.

Используя этот метод,  ученным удалось значительно снизить количество этих ошибок при вводе пароля, что положительно влияет на удобство самих же пользователей. Например,  10 процентов всех ошибок неудачного ввода пароля составляет регистр. Если пользователь ввел заглавную букву вместо маленькой, автокоррекция исправляет эту ошибку и пользователь успешно входит в свой аккаунт, а не получает ошибку «Пароль неверный». Такой метод способен повысить количество успешных залогиваний на 3-ри процента.

Эксперимент

Исследователи в течение 24 часов фиксировали самые часто встречающиеся ошибки при вводе пароля, все это происходило на инфраструктуре Dropbox. После этого происходило то же самое,  только ученные исправляли ошибки при помощи автокорреции, что в свою очередь дало довольно хороший результат и это только при использовании трех часто встречающихся ошибок при вводе пароля.

По мнению ученных,  при брутфорс-атаках, злоумышленники  могут воспользоваться таким методом и вполне успешно,  но только на слабых паролях типа: 12345, admin и ему подобных.

По заявлению Ристенпарта, ученного из Корнуэлльского Унивирсетета — «предложенная система, несомненно, требует доработок — к примеру, добавление автокоррекции при перестановке букв (случается при длинном пароле). «Мы хотим применить подход к другим типам опечаток и разработать соответственный механизм автокоррекции» — заявил он в конце доклада.

Понравилась статья? Поделитесь ей с друзьями, возможно, она будет полезной кому-то из них.