|К ВОПРОСУ О ПАРОЛЬНОЙ ЗАЩИТЕ ПОЧТОВЫХ СЕРВИСОВ
Марков Г.А.],Шарунов В.А.2
Подсистема аутентификации крайне важна в области информационной безопасности, так как является первым защитным рубежом компьютерной системы. Несмотря на неуклонное развитие механизмов информационной безопасности, наиболее используемым средством аутентификации является пароль. Основной уязвимостью такого механизма защиты считается выбор не стойкого пароля. В 2014-2015 годах произошел ряд утечек парольных баз крупных интернет-компаний, что позволило провести исследование стойкости реальных паролей. Следует констатировать, что за прошедшее время защита парольных систем не сильно продвинулась вперед, в основном видна тенденция роста требований к интерфейсу ввода пароля. При этом, до сих пор стоит вопрос, какие пароли можно считать стойкими, а какие нет. В работе приводятся примеры оценки парольных систем, а также проведен анализ утекших паролей на предмет их стойкости по разработанным требованиям. Проверка стойкости проводилась при помощи использования метрик (показателей стойкости паролей). Данные метрики являлись основой для формулирования объективных требований к стойкости парольной системы.
Ключевые слова: аутентификация, пароль, метрика, информационная безопасность, защита информации, парольная система
Введение
Несмотря на то, что вопросы стойкости парольных систем подлежат перманентному исследованию, в практическом плане этот вопрос не получил завершения по субъективным причинам. Например, ряд разработчиков программных систем по-разному трактуют вопрос стойкости парольной системы, а пользователи, зачастую, не полностью соблюдают политику безопасности системы аутентификации.
За последние два года произошел ряд крупных утечек парольных баз почтовых интернет-сервисов (Яндекс, Google, Mail, Dropbox и др.). Это позволило провести исследование стойкости паролей, опираясь на неформальные и формальные показатели.
Понятие стойкости парольной защиты
Рассмотрим формулу вероятности подбора пароля [7]:
где V- скорость подбора пароля злоумышленником, Т- срок действия пароля, | А - мощность пространства паролей, n - длина пароля.
В соответствии с приведенной формулой можно сделать вывод, что на стойкость пароля в основном влияют частота смены пароля и мощность пространства паролей, которая характеризуется длиной и используемым алфавитом при составлении пароля.
В связи со сказанным можно сформулировать простые содержательные критерии, по которым пароль считается стойким:
- длина пароля должна быть не менее 8 символов;
- должны учитываться символы разных регистров;
- должны использоваться цифры;
- должны использоваться спецсимволы;
- основой пароля не должно быть какое-либо слово;
- пароль не должен состоять из данных, связанных с владельцем пароля.
В то же время в литературе ведется дискуссия насчет формальных требований к парольным системам [1-10].
Метрики стойкости паролей
Приведем несколько наиболее известных классов показателей стойкости парольных систем:
- численные метрики [3];
- вероятностные метрики [2, 10];
- информационная энтропия по Шеннону;
- эвристические модификации энтропии;
- вероятностные модификации энтропии [5, 6].
К численным метрикам относятся значения
времени полного перебора пароля. К сожалению, такой метод не учитывает целенаправленного перебора и угадывания.
Вероятностные метрики получаются исходя из имеющийся парольной статистики для конкретных систем, что не всегда можно сделать на практике.
1 Марков Георгий Алексеевич, МГТУ им.Н.Э.Баумана, Москва, [email protected],
2 Шарунов Владислав Александрович, University of Greenwich, London (UK), [email protected]
В данной работе будут рассмотрены энтропия по Шеннону и эвристическая энтропия (рекомендованная стандартом МБТ БР 800-22). Отличие методов в том, что в энтропии по Шеннону предполагается, что пароли генерируются случайным датчиком, а в случае эвристической энтропии пароль составляется человеком.
Энтропия по Шенону вычисляется следующим образом:
где \Л\ - мощность алфавита, п - длина пароля.
Метрика указывает на то, что чем сложнее алфавит и чем длиннее пароль, тем он более стойкий.
Приведем пример вычисления энтропии по Шеннону (табл.1).
Таблица 1.
Пример вычисления энтропии
Алфавит/длина 5 6 7 8
Латиница 23.5 28.2 32.9 37.6
Цифры 16.6 19.9 23.2 26.5
Латиница+верхний регистр+цифры 29.7 35.7 41.6 47.6
Латиница+кирилица +верхний регистр+цифры 35 41.9 48.9 55.9
2,0
5 = 4 + ^2 + ^1.5+^ 1
+ 6Х
1 = 2
1=9
i=2 1
критерии: если пароль зафиксирован в базах для подбора паролей (словарях), то энтропия сводится к нулю.
Результаты исследования При помощи исследовательской программы были обработаны несколько парольных баз, выложенных хакерами в открытый доступ в глобальной сети интернет в прошлом году. По каждой парольной базе была получена определенная статистика, представленная ниже. Результаты исследования скомпрометированной базы паролей Яндекс (1 261 809 паролей) представлены в табл. 2-4, Mail.ru (45 000) - табл. 5-7, Google (4 926 673) -табл. 8-10.
Таблица 2.
Длина паролей (Яндекс)
Энтропию пароля по рекомендациям МБТ можно вычислить по следующие [6]:
А J
где /<«,«- длина пароля, Ха - характеристическая функция наличия в пароле неалфавитных символов или символов верхнего регистра.
Данную формулу можно описать следующим образом: первый символ пароля получает значение 4 бит, каждый имеющийся далее символ со второго по восьмой получают по 2 бита, с 9-го по 20-ый по 1.5 бита и каждый последующий по одному биту. При наличии неалфавитных символов или символов верхнего регистра к полученному результату прибавляется 6 бит.
По данным метрикам будем считать, что пароль стойкий, если он соответствует энтропии [6]:
- по Шеннону - 56 бит и более,
- по рекомендациям МБТ - 24 и более бит.
Следует наложить ограничение на указанные
Длина пароля Количество паролей
6 380732
7 174782
8 282641
9 130676
10 103926
11 71948
12 45387
13 20127
14 14950
15 9895
16 7646
17 3487
18 3104
19 1747
20 2660
Таблица 3. Топ-10 повторяющихся паролей (Яндекс)
Пароль Количество повторений
123456 39177
123456789 13892
111111 9826
qwerty 7926
1234567890 5853
1234567 4668
7777777 4606
123321 4324
000000 3304
123123 3031
К вопросу о парольной защите почтовых сервисов
Таблица 4. Таблица 7.
Алфавит паролей (Яндекс) Алфавит паролей (Mail.ru)
Используемый алфавит Число паролей
Пароли, состоящие только из цифр 608125
Пароли, состоящие из символов 233561
Пароли, состоящие только из 218319
нижнего регистра
Только верхний регистр 3136
Похожие на номер мобильного 40980
телефона
Совпадение с логином 1489
Похожие на даты 171906
Подходящие под содержательное 345
описание стойкого пароля
Подходящие по стойкости по Шенону 143802
Подходящие по стойкости по N181 108951
Таблица 5.
Длина паролей (Mail.ru)
Длина пароля Количество паролей
6 17484
7 4155
8 12562
9 3212
10 2421
11 1399
12 1106
13 627
14 438
15 293
16 205
17 12
18 20
19 2
20 15
Таблица 6.
Топ-10 повторяющихся паролей (Mail.ru)
Пароль Количество повторений
qwerty 4291
987654321 1385
4815162342 661
11111111 615
123123123 578
789456123 448
12341234 408
147852369 380
444444 353
q1w2e3 331
Используемый алфавит Число паролей
Пароли, состоящие только из цифр 18806
Пароли, состоящие из символов 14650
Пароли, состоящие только из 13835
нижнего регистра
Только верхний регистр 53
Похожие на номер сотового 138
телефона
Совпадение с логином 3619
Похожие на даты 9287
Подходящие под содержательное 5
описание стойкого пароля
Подходящие по стойкости по Шеннону 3916
Подходящие по стойкости по N181 3274
Таблица 8.
Длина паролей (Google)
Длина пароля Количество паролей
6 924154
7 663510
8 1422999
9 683315
10 682811
11 152256
12 93202
13 42387
14 24853
15 14851
16 7291
17 2549
18 1781
19 1082
20 1166
Таблица 9.
Топ-10 повторений паролей (Google)
Пароль Количество повторений
123456 47918
password 11554
123456789 11160
12345 8096
querty 5918
12345678 5250
111111 3521
abc123 3011
123123 2972
1234567 2911
Выводы
Сравнительный анализ полученной статистики с известной ранее [11] показал тенденцию незначительного усиления парольной защиты. Это связано с тем, что, ряд интернет-сервисов определил более строгие правила к соответствующим интер-
фейсам, например, усилил требование к длине паролей (не менее 6 символов) и использованию относительно сложного алфавита. Однако - о чем свидетельствует статистика - указанное не останавливает неорганизованных и беспечных пользователей в выборе легко подбираемых паролей, и число топ-500 паролей практически не меняется из года в год [11].
В целом проведенное исследование подтвердило, что система аутентификации остается весьма уязвимой (только 10 % паролей модно считать надежными), что обуславливает создание интегрированных систем защиты информации и развитие систем менеджмента информационной безопасности.
В заключение следует отметить, что использование энтропийных метрик вместо вербальных описаний более практично при определении технических требований к системам обеспечения безопасности информации, т.к. они легче поддаются автоматизации и контролю. Кроме того, использование формальных показателей позволяет снизить степень субъективизма, присутствующую при анализе безопасности систем.
Таблица 10.
Алфавит паролей (Google)
Используемый алфавит Число паролей
Пароли, состоящие только из цифр 774669
Пароли, состоящие из символов 1968873
Пароли, состоящие только из 1968873
нижнего регистра
Только верхний регистр 0
Похожие на номер сотового 22751
телефона
Совпадение с логином 45010
Похожие на даты 156142
Подходящие под содержательное 0
описание стойкого пароля
Подходящие по стойкости по Шеннону 290530
Подходящие по стойкости по NIST 157475
Рецензент: кандидат технических наук Цирлов Валентин Леонидович, [email protected]
Литература:
1. Беленко А. Пароли: стойкость, политика назначения и аудит // Защита информации. Инсайд. 2009. № 1 (25). С. 61-64.
2. Гуфан К.Ю., Новосядлый В.А., Эдель Д.А. Оценка стойкости парольных фраз к методам подбора // Открытое образование. 2011. №2. 127-130 с.
3. Евтеев Д. Анализ проблем парольной защиты в российских компаниях. 2009. 33 с. URL: http://www.ptsecurity.ru/download/ PT-Metrics-Passwords-2009.pdf (дата обращения: 08.12.2015).
4. Заркумова Р.Н. Исследование количественных характеристик системы парольной защиты информации // Сборник научных трудов НГТУ. 2010. № 2(60). C.83-88.
5. Марков Г.А. К вопросу об определении стойкости парольных систем // Сборник трудов Третьей всероссийской НТК «Безопасные информационные технологии» / под. Ред. В.А.Матвеева. М: НИИ РЛ МГТУ им.Н.Э.Баумана. 2012. С.21-23.
6. Марков Г.А. Метрики стойкости парольной защиты // Молодежный научно-технический вестник. 2013. № 2. С. 28.
7. Методы оценки несоответствия средств защиты информации/А.С.Марков, В.Л.Цирлов, А.В.Барабанов. М.: Радио и связь, 2012. 192 с.
8. Тюрин К.А., Сёмин Р.В. Анализ стойкости парольных фраз на основе информационной энтропии // Известия ЮФУ. Технические науки. 2015. № 5 (166). С. 18-27.
9. Шибанов С.В., Карпушин Д.А. Сравнительный анализ современных методов аутентификации пользователя // Математическое и программное обеспечение систем в промышленной и социальной сферах. 2015. № 1 (6). С. 33-37.
10. Bonneau J. Guessing human-chosen secrets // Technical Report UCAM-CL-TR-819. 2012. 161 p.
11. The Top 500 Worst Passwords of All Time, 2008. URL: http://www.whatsmypass.com/the-top-500-worst-passwords-of-all-time
К вопросу о парольной защите почтовых сервисов
ABOUT INFORMATION SECURITY OF EMAIL SERVICES
Markov G.A.3, Sharunov V.A.4
In 2014-2015 there was a series of leaks of password databases of large companies such as Yandex, Google, Mail, Dropbox. Since then, the protection of password systems are not much has moved forward, mostly visible upward trend password requirements. For example, most sites are introduced requirements for the minimum length and contents of the alphabet in passwords. Therefore, until now, the question is which passwords can be considered persistent, and which are not. The paper provides examples of assessment of password systems, as well as an analysis of leaked passwords for their resistance by the above requirements.
Keywords: password, metric, information security, data protection, password system
Reference:
1. Belenko A. Paroli: stoykost', politika naznacheniya i audit, Zashchita informatsii. Insayd. 2009. No 1 (25), pp. 61-64.
2. Gufan K.Yu., Novosyadlyy V.A., Edel' D.A. Otsenka stoykosti parol'nykh fraz k metodam podbora, Otkrytoe obrazovanie. 2011. No 2, pp. 127-130.
3. Evteev D. Analiz problem parol'noy zashchity v rossiyskikh kompaniyakh. 2009. 33 P. URL: http://www.ptsecurity.ru/download/ PT-Metrics-Passwords-2009.pdf.
4. Zarkumova R.N. Issledovanie kolichestvennykh kharakteristik sistemy parol'noy zashchity informatsii, Sbornik nauchnykh trudov NGTU. 2010. No 2(60), pp.83-88.
5. Markov G.A. K voprosu ob opredelenii stoykosti parol'nykh system, Sbornik trudov Tret'yey vserossiyskoy NTK «Bezopasnye informatsionnye tekhnologii», pod. Red. V.A.Matveeva. M: NII RL MGTU im.N.E.Baumana. 2012, pp.21-23.
6. Markov G.A. Metriki stoykosti parol'noy zashchity, Molodezhnyy nauchno-tekhnicheskiy vestnik. 2013. No 2, pp. 28.
7. Metody otsenki nesootvetstviya sredstv zashchity informatsii, A.S.Markov, V.L.Tsirlov, A.V.Barabanov. M.: Radio i svyaz', 2012. 192 P.
8. Tyurin K.A., Semin R.V. Analiz stoykosti parol'nykh fraz na osnove informatsionnoy entropii // Izvestiya YuFU. Tekhnicheskie nauki. 2015. No 5 (166), pp. 18-27.
9. Shibanov S.V., Karpushin D.A. Sravnitel'nyy analiz sovremennykh metodov autentifikatsii pol'zovatelya // Matematicheskoe i programmnoe obespechenie sistem v promyshlennoy i sotsial'noy sferakh. 2015. No 1 (6), pp. 33-37.
10. Bonneau J. Guessing human-chosen secrets // Technical Report UCAM-CL-TR-819. 2012. 161 p.
11. The Top 500 Worst Passwords of All Time, 2008. URL: http://www.whatsmypass.com/the-top-500-worst-passwords-of-all-time
3 Georii Markov, Bauman MSTU, Moscow, [email protected],
4 Vladislav Sharunov, University of Greenwich, London (UK), [email protected]