Длинные пароли более устойчивы к атакам типа «brute force», которые заключаются в переборе всех возможных символьных комбинаций, однако надежность пароля далеко не всегда определяется его длиной. Многие вредоносные программы используют встроенный словарь для перебора вариантов и с легкостью угадывают осмысленные пароли, состоящие из двух десятков символов. И ни один из паролей не может считаться надежным в случае заражения компьютера вредоносным приложением-кейлоггером.
Практические проблемы, связанные с использованием паролей для аутентификации интернет-пользователей, стали достаточно популярной темой академических исследований. В прошлом месяце Джозеф Бонно (Joseph Bonneau) и Серен Прейбух (Soren Preibusch) из Кембриджа выступили на конференции WEIS 2010 с любопытным докладом. Темой выступления стали распространенные ошибки и недочеты, обнаруженные в системах защиты современных сайтов. В отличие от своих коллег из Georgia Tech, кембриджские исследователи обеспечили взгляд на актуальную проблему со стороны веб-администраторов.
Подвергнув анализу защитные механизмы, присутствующие на 150 популярных коммерческих, новостных и почтовых ресурсах, ученые пришли к выводу, что многие сайты пренебрегают даже повсеместно распространенными мерами предосторожности, такими как использование хэша паролей и блокирование пользователя после нескольких неудачных попыток ввода ключевого слова.
Эксперты также уверены, что сайты с неэффективной защитой могут скомпрометировать даже хорошо защищенные ресурсы, если принимать во внимание любовь современных интернет-пользователей к универсальным паролям, которые используются для входа на большинство защищенных сайтов.
По материалам The Register.