Результаты исследования, проведенного экспертами по безопасности в Великобритании и Китае, впервые показывают, что подавляющее количество паролей для онлайн-аккаунтов, используемых для чего угодно, от банковского дела, социальных сетей и покупок, уязвимы для целевого онлайн-угадывания.Целенаправленное угадывание в Интернете — это когда преступники угадывают пароль конкретной жертвы от учетной записи. Они делают это, используя знание личной информации своей жертвы, такой как пароль, который цель использует от другого сервиса, а также личную информацию, позволяющую установить личность, такую ??как их имя и день рождения.
Многие люди склонны повторно использовать пароли в нескольких веб-службах, а также использовать личную информацию в своих паролях. В последние годы произошло большое количество утечек данных со стороны предприятий, что привело к передаче большего количества личной информации в руки преступников. Эти взломы означают, что похожие пароли, используемые в других сервисах, становятся особенно уязвимыми для целевого угадывания.Чтобы проверить уязвимость онлайн-паролей для целевого угадывания, исследователи из Ланкастерского университета, Пекинского университета и Педагогического университета Фуцзянь создали различные системы угадывания, которые определяют порядок угадывания в зависимости от того, имеют ли злоумышленники доступ к разным типам личной информации или нескольким частям информации. . Эти модели приоритезации были протестированы на десяти больших реальных наборах данных от китайских и английских интернет-пользователей.
При тестировании модели атак исследователей — особенно те, которые извлекали выгоду из нескольких частей личной информации, включая пароль от другой службы, — смогли успешно угадать пароли учетных записей более чем 73% обычных пользователей и около трети. опытных пользователей с ограничением в 100 предположений. В США правила NIST (Национальный институт стандартов и технологий) для интернет-сервисов требуют, чтобы количество попыток ввода пароля было ограничено 100 в течение 30-дневного периода.
В работе, которая впервые систематически оценивает, как злоумышленники могут получить преимущества, используя личную информацию, включая просочившиеся пароли, содержится статья «Целевое угадывание пароля в Интернете: недооцененная угроза», представленная д-ром Джеффом Яном, соавтором книги. доклад и старший преподаватель Ланкастерского университета на конференции CCS’16 в Вене.«Наши результаты показывают, что используемые в настоящее время механизмы безопасности будут в значительной степени неэффективными против целевой угрозы онлайн-угадывания, и эта угроза уже стала гораздо более разрушительной, чем ожидалось», — сказал д-р Ян.
«Эта работа впервые показывает, что целенаправленное угадывание пароля — это сильно недооцененная угроза, и мы продемонстрировали, что большое количество паролей можно угадать, если злоумышленнику известна личная информация, особенно если он знает пароли от других учетных записей, принадлежащих потенциальной жертвой », — сказал г-н Дин Ван, ведущий студент-автор, которого совместно руководили профессор Пинг Ван из Пекинского университета и доктор Ян из Ланкастера.«Мы обнаруживаем, что целевые угрозы онлайн-угадывания становятся все более разрушительными и реалистичными. Это серьезная проблема безопасности, поскольку существует большое количество идентифицирующей личность информации, а просочившиеся пароли легко доступны злоумышленникам из-за множества утечек данных размером в миллион, таких как Yahoo, Myspace, Linkedin, Dropbox и VK.com », — сказал профессор Ван. Соответствующий автор статьи.
«Наши результаты должны побудить людей гораздо более существенно менять пароли, которые они используют на разных веб-сайтах, чтобы злоумышленникам было труднее угадывать свои пароли. Эта работа также должна помочь информировать интернет-провайдеров, желающих внедрить более надежные меры безопасности для обнаружения и противодействия онлайн-угадыванию », — добавил д-р Ян.Хотя результаты этой работы предполагают, что веб-сайт должен допускать гораздо меньше предположений, чем 100, чтобы учетная запись была безопасной, исследователи подчеркивают, что это должно быть сбалансировано с необходимостью для пользователей иметь возможность попробовать несколько попыток доступа к своим учетным записям.
Кроме того, небольшое ограничение на количество попыток ввода пароля для учетной записи может предоставить злоумышленникам еще одну вредоносную возможность — заблокировать выбранные (или множество) учетных записей с помощью нескольких неудачных попыток угадывания пароля. Это так называемая атака отказа в обслуживании. Поскольку число 100 уже довольно мало, установление хорошего баланса между атакой с предположением и атакой отказа в обслуживании указывает на необходимость для веб-сайтов, связанных с безопасностью, развертывать более надежные меры безопасности.
Перспективным подходом является использование других неявных сигналов идентификации пользователя, помимо пароля, включая IP-адрес пользователя, геолокацию, отпечатки пальцев устройства и поведение пользователя, такое как время входа в систему и динамику нажатия клавиш.«Было приятно видеть, что, быстро отреагировав на наши результаты, NIST пересмотрел часть Руководства по цифровой аутентификации SP 800-63-3 и попросил нас предоставить дополнительные комментарии по другим связанным стандартам», — сказал д-р Ян.
Документ доступен по адресу http://dl.acm.org/citation.cfm?id=2978339CFID=685234644CFTOKEN=66042247.Авторы статей: Дин Ван, Цзицзянь Чжан и Пин Ван, Пекинский университет; Джефф Ян из Школы вычислительной техники и коммуникаций Ланкастерского университета; и Хиньи Хуан из школы математики и информатики Фуцзяньского нормального университета.
ACM Conference of Communication and Systems Security (CCS) — ведущая международная конференция по кибербезопасности.