stringtranslate.com

Пароль

Поле пароля в форме входа

Пароль , иногда называемый паролем (например, на устройствах Apple ), представляет собой секретные данные, обычно представляющие собой строку символов, обычно используемую для подтверждения личности пользователя. Традиционно предполагалось, что пароли нужно запоминать, [1] но большое количество служб, защищенных паролем, к которым обычно обращается отдельный человек, может сделать запоминание уникальных паролей для каждой службы непрактичным. [2] Используя терминологию NIST Digital Identity Guidelines, [3] секрет хранится стороной, называемой заявителем , в то время как сторона, проверяющая личность заявителя, называется проверяющим . Когда заявитель успешно демонстрирует знание пароля проверяющему через установленный протокол аутентификации , [4] проверяющий может сделать вывод о личности истца.

В общем случае пароль представляет собой произвольную строку символов, включающую буквы, цифры и другие символы. Если допустимые символы ограничены цифрами, соответствующий секрет иногда называют личным идентификационным номером (ПИН).

Несмотря на свое название, пароль не обязательно должен быть реальным словом; действительно, неслово (в словарном смысле) может быть труднее угадать, что является желательным свойством паролей. Запомненный секрет, состоящий из последовательности слов или другого текста, разделенных пробелами, иногда называется фразой -паролем . Парольная фраза по использованию аналогична паролю, но первая обычно длиннее для дополнительной безопасности. [5]

История

Пароли использовались с древних времен. Часовые предлагали желающим войти в зону сообщить пароль или ключевое слово и позволяли пройти человеку или группе только в том случае, если они знали пароль. Полибий описывает систему распределения лозунгов в римской армии следующим образом:

Способ, которым они обеспечивают передачу лозунга на ночь, следующий: из десятого манипула каждого класса пехоты и кавалерии, манипула, который расположился лагерем в нижнем конце улицы, выбирается человек, который освобожден от караульной службы, и он каждый день на закате присутствует в шатре трибуны и , получив от него лозунг — то есть деревянную табличку с написанным на ней словом, — уходит и, вернувшись в свою квартиру, уходит дальше. лозунг и табличка перед свидетелями командира следующего манипула, который, в свою очередь, передает его следующему за ним. Все делают то же самое, пока не доберутся до первых манипул, стоящих лагерем возле шатров трибунов. Последние обязаны доставить табличку на трибуны до наступления темноты. Так что, если все выданные будут возвращены, трибун будет знать, что лозунг был дан всем манипулам и прошел через все на обратном пути к нему. Если какой-либо из них пропал, он немедленно наводит справки, так как по отметкам знает, с какой стороны табличка не вернулась, и тот, кто виновен в остановке, понесет заслуженное наказание. [6]

Пароли, используемые в военных целях, стали включать не только пароль, но и пароль и контрпароль; например, в первые дни битвы за Нормандию десантники 101-й воздушно-десантной дивизии США использовали пароль — вспышка — который был представлен как вызов, и ответили правильным ответом — гром . Задание и ответ менялись каждые три дня. Американские десантники также, как известно, использовали устройство, известное как «сверчок», в день «Д» вместо системы паролей в качестве временно уникального метода идентификации; один металлический щелчок, подаваемый устройством вместо пароля, должен был сопровождаться двумя щелчками в ответ. [7]

Пароли использовались в компьютерах с самых первых дней существования компьютеров. Совместимая система разделения времени (CTSS), операционная система, представленная в Массачусетском технологическом институте в 1961 году, была первой компьютерной системой, реализовавшей вход по паролю. [8] [9] В CTSS была команда LOGIN, которая запрашивала пароль пользователя. «После ввода ПАРОЛЯ система, если это возможно, отключает механизм печати, чтобы пользователь мог ввести свой пароль конфиденциально». [10] В начале 1970-х годов Роберт Моррис разработал систему хранения паролей для входа в хешированную форму как часть операционной системы Unix . Система была основана на моделируемой роторной криптомашине Хагелина и впервые появилась в 6-м издании Unix в 1974 году. Более поздняя версия его алгоритма, известная как crypt(3) , использовала 12-битную соль и вызывала модифицированную форму DES. алгоритм 25 раз, чтобы снизить риск заранее рассчитанных атак по словарю . [11]

В наше время имена пользователей и пароли обычно используются людьми во время процесса входа в систему , который контролирует доступ к защищенным компьютерным операционным системам , мобильным телефонам , декодерам кабельного телевидения , банкоматам (банкоматам) и т. д. Типичный пользователь компьютера имеет пароли для множество целей: вход в учетные записи, получение электронной почты , доступ к приложениям, базам данных, сетям, веб-сайтам и даже чтение утренней газеты в Интернете.

Выбор надежного и запоминающегося пароля

Чем проще владельцу пароль запомнить, как правило, это означает, что злоумышленнику будет легче его угадать . [12] Однако пароли, которые трудно запомнить, также могут снизить безопасность системы, поскольку (а) пользователям может потребоваться записать или сохранить пароль в электронном виде, (б) пользователям потребуется частая смена пароля и (в) пользователи с большей вероятностью будут повторно использовать один и тот же пароль для разных учетных записей. Аналогичным образом, чем более строгие требования к паролю, такие как «сочетание прописных и строчных букв и цифр» или «меняйте его ежемесячно», тем в большей степени пользователи будут подрывать систему. [13] Другие утверждают, что более длинные пароли обеспечивают большую безопасность (например, энтропию ), чем более короткие пароли с широким набором символов. [14]

В книге «Запоминаемость и безопасность паролей» [ 15] Джефф Ян и др. изучить влияние советов, данных пользователям о правильном выборе пароля. Они обнаружили, что пароли, основанные на обдумывании фразы и выборе первых букв каждого слова, так же запоминаются, как и наивно выбранные пароли, и их так же трудно взломать, как и случайно сгенерированные пароли.

Объединение двух или более несвязанных слов и замена некоторых букв специальными символами или цифрами — еще один хороший метод, [16] но отдельное словарное слово — нет. Еще один хороший метод — наличие лично разработанного алгоритма генерации непонятных паролей. [17]

Однако просить пользователей запомнить пароль, состоящий из «смесь символов верхнего и нижнего регистра», аналогично просить их запомнить последовательность битов: трудно запомнить и лишь немного труднее взломать (например, всего в 128 раз сложнее). взломать пароли из 7 букв (меньше, если пользователь просто пишет одну из букв с заглавной буквы). Просьба к пользователям использовать «и буквы, и цифры» часто приводит к легко угадываемым заменам, таким как «E» → «3» и «I» → «1», — заменам, которые хорошо известны злоумышленникам. Аналогичным образом, ввод пароля на одну строку клавиатуры выше — распространенная уловка, известная злоумышленникам. [18]

В 2013 году Google опубликовал список наиболее распространенных типов паролей, каждый из которых считается небезопасным, поскольку их слишком легко угадать (особенно после исследования личности человека в социальных сетях), который включает в себя: [ 19]

Альтернативы запоминанию

Традиционный совет запоминать пароли и никогда их не записывать стал проблемой из-за огромного количества паролей, которые должны хранить пользователи компьютеров и Интернета. Одно исследование пришло к выводу, что средний пользователь имеет около 100 паролей. [2] Чтобы предотвратить распространение паролей, некоторые пользователи используют один и тот же пароль для нескольких учетных записей. Это опасная практика, поскольку утечка данных в одной учетной записи может поставить под угрозу остальные. Менее рискованные альтернативы включают использование менеджеров паролей , систем единого входа и простое хранение бумажных списков менее важных паролей. [20] Такие методы могут сократить количество паролей, которые необходимо запомнить, таких как главный пароль менеджера паролей, до более управляемого количества.

Факторы безопасности системы паролей

Безопасность системы, защищенной паролем, зависит от нескольких факторов. Вся система должна быть спроектирована с учетом надежной безопасности и защиты от компьютерных вирусов , атак типа «человек посередине» и т.п. Проблемы физической безопасности также вызывают беспокойство: от сдерживания серфинга через плечо до более сложных физических угроз, таких как видеокамеры и перехватчики клавиатуры. Пароли следует выбирать так, чтобы злоумышленнику было трудно их подобрать и обнаружить с помощью любой из доступных схем автоматической атаки. Дополнительные сведения см. в разделе «Надежность пароля и безопасность компьютера» . [21]

В настоящее время компьютерные системы часто скрывают пароли по мере их ввода. Цель этой меры — предотвратить чтение пароля посторонними лицами; однако некоторые утверждают, что такая практика может привести к ошибкам и стрессу, побуждая пользователей выбирать слабые пароли. В качестве альтернативы пользователи должны иметь возможность показывать или скрывать пароли по мере их ввода. [21]

Эффективные положения о контроле доступа могут вынудить преступников принять крайние меры, стремящихся получить пароль или биометрический токен. [22] Менее крайние меры включают вымогательство , криптоанализ через резиновый шланг и атаку по побочным каналам .

Ниже приведены некоторые конкретные проблемы управления паролями, которые необходимо учитывать при обдумывании, выборе и использовании пароля.

Скорость, с которой злоумышленник может попробовать угадать пароли

Скорость, с которой злоумышленник может отправить в систему угаданные пароли, является ключевым фактором, определяющим безопасность системы. Некоторые системы устанавливают тайм-аут в несколько секунд после небольшого количества (например, трех) неудачных попыток ввода пароля, также известный как регулирование. [3] : 63B Раздел 5.2.2  При отсутствии других уязвимостей такие системы могут быть эффективно защищены с помощью относительно простых паролей, если они правильно выбраны и их нелегко угадать. [23]

Многие системы хранят криптографический хэш пароля. Если злоумышленник получит доступ к файлу хешированных паролей, угадать его можно в автономном режиме, быстро проверив возможные пароли на соответствие хеш-значению истинного пароля. В примере с веб-сервером онлайн-злоумышленник может угадать только скорость, с которой сервер ответит, тогда как автономный злоумышленник (который получает доступ к файлу) может угадать со скоростью, ограниченной только аппаратным обеспечением на нем. какой тип атаки используется, а также мощность алгоритма, использованного для создания хеша.

Пароли, которые используются для генерации криптографических ключей (например, для шифрования диска или безопасности Wi-Fi ), также могут подвергаться высокоскоростному подбору. Списки общих паролей широко доступны и могут сделать атаку паролей очень эффективной. (См. «Взлом пароля» .) Безопасность в таких ситуациях зависит от использования паролей или парольных фраз достаточной сложности, что делает такую ​​атаку вычислительно неосуществимой для злоумышленника. Некоторые системы, такие как PGP и Wi-Fi WPA , применяют к паролю хэш, требующий больших вычислений, чтобы замедлить такие атаки. См. растяжку клавиш .

Ограничения на количество попыток подбора пароля

Альтернативой ограничению скорости, с которой злоумышленник может угадывать пароль, является ограничение общего количества возможных угадываний. Пароль можно отключить, потребовав его сброса, после небольшого количества последовательных неверных попыток (скажем, 5); и от пользователя может потребоваться сменить пароль после большего совокупного количества неверных предположений (скажем, 30), чтобы не дать злоумышленнику сделать сколь угодно большое количество неверных предположений, чередуя их между правильными предположениями, сделанными законным владельцем пароля. [24] Злоумышленники, наоборот, могут использовать знания об этом смягчении для реализации атаки типа «отказ в обслуживании» против пользователя, намеренно блокируя пользователю доступ к его собственному устройству; этот отказ в обслуживании может открыть злоумышленнику другие возможности манипулировать ситуацией в своих интересах с помощью социальной инженерии .

Форма сохраняемых паролей

Некоторые компьютерные системы хранят пароли пользователей в виде открытого текста , с которым можно сравнивать попытки входа в систему. Если злоумышленник получит доступ к такому внутреннему хранилищу паролей, все пароли — и, следовательно, все учетные записи пользователей — будут скомпрометированы. Если некоторые пользователи используют один и тот же пароль для учетных записей в разных системах, они также будут скомпрометированы.

Более безопасные системы хранят каждый пароль в криптографически защищенной форме, поэтому доступ к реальному паролю по-прежнему будет затруднен для шпиона, получившего внутренний доступ к системе, в то время как проверка попыток доступа пользователя остается возможной. Наиболее безопасные пароли вообще не хранят, а хранят односторонние производные, такие как полином , модуль или расширенная хеш-функция . [14] Роджер Нидэм изобрел ныне распространенный подход, заключающийся в хранении только «хешированной» формы пароля в виде открытого текста. [25] [26] Когда пользователь вводит пароль в такой системе, программное обеспечение для обработки паролей использует криптографический алгоритм хеширования, и если хэш-значение, сгенерированное из записи пользователя, совпадает с хешем, хранящимся в базе данных паролей, пользователь разрешен доступ. Хэш-значение создается путем применения криптографической хэш-функции к строке, состоящей из отправленного пароля и, во многих реализациях, другого значения, известного как соль . Соль не позволяет злоумышленникам легко составить список хеш-значений для общих паролей и предотвращает масштабирование усилий по взлому паролей на всех пользователей. [27] MD5 и SHA1 — часто используемые криптографические хэш-функции, но их не рекомендуется использовать для хеширования паролей, если только они не используются как часть более крупной конструкции, такой как PBKDF2 . [28]

Сохраненные данные — иногда называемые «верификатором пароля» или «хешем пароля» — часто хранятся в формате модульного шифрования или формате хэша RFC 2307, иногда в файле /etc/passwd или файле /etc/shadow . [29]

Основными методами хранения паролей являются обычный текст, хеширование, хеширование и соленое хранение, а также обратимо зашифрованное. [30] Если злоумышленник получит доступ к файлу паролей, то, если он хранится в виде обычного текста, взлом не требуется. Если он хеширован, но не солеен, то он уязвим для атак по радужным таблицам (которые более эффективны, чем взлом). Если он обратимо зашифрован, то, если злоумышленник получит ключ дешифрования вместе с файлом, взлом не потребуется, а если ему не удастся получить ключ, взлом невозможен. Таким образом, из распространенных форматов хранения паролей взлом необходим и возможен только тогда, когда пароли были обработаны солью и хешированы. [30]

Если криптографическая хэш-функция хорошо спроектирована, вычислительно невозможно обратить ее вспять для восстановления пароля в виде открытого текста . Однако злоумышленник может использовать широко доступные инструменты, чтобы попытаться угадать пароли. Эти инструменты работают путем хеширования возможных паролей и сравнения результата каждого предположения с фактическими хэшами паролей. Если злоумышленник находит совпадение, он знает, что его предположение — это фактический пароль соответствующего пользователя. Инструменты взлома паролей могут работать методом перебора (т.е. перебора всех возможных комбинаций символов) или путем хеширования каждого слова из списка; большие списки возможных паролей на многих языках широко доступны в Интернете. [14] Существование инструментов для взлома паролей позволяет злоумышленникам легко восстанавливать неправильно выбранные пароли. В частности, злоумышленники могут быстро восстановить пароли, состоящие из коротких словарных слов, простых вариаций словарных слов или паролей, использующих легко угадываемые шаблоны. [31] Модифицированная версия алгоритма DES использовалась в качестве основы для алгоритма хеширования паролей в ранних системах Unix . [32] Алгоритм шифрования использовал 12-битное значение соли, чтобы хэш каждого пользователя был уникальным, и повторял алгоритм DES 25 раз, чтобы замедлить хэш-функцию. Обе меры были направлены на предотвращение атак автоматического угадывания. [32] Пароль пользователя использовался в качестве ключа для шифрования фиксированного значения. Более поздние Unix или Unix-подобные системы (например, Linux или различные системы BSD ) используют более безопасные алгоритмы хеширования паролей, такие как PBKDF2 , bcrypt и scrypt , которые имеют большие соли и регулируемую стоимость или количество итераций. [33] Плохо спроектированная хэш-функция может сделать атаку возможной, даже если выбран надежный пароль. См. LM hash для широко распространенного и небезопасного примера. [34]

Способы проверки пароля по сети

Простая передача пароля

Пароли уязвимы для перехвата (т. е. «отслеживания») во время передачи аутентифицирующей машине или человеку. Если пароль передается в виде электрических сигналов по незащищенной физической проводке между точкой доступа пользователя и центральной системой, управляющей базой данных паролей, он может быть перехвачен методами прослушивания . Если они передаются через Интернет в виде пакетированных данных, любой, кто имеет возможность наблюдать за пакетами , содержащими информацию для входа в систему, может отслеживать их с очень низкой вероятностью обнаружения.

Электронная почта иногда используется для распространения паролей, но, как правило, это небезопасный метод. Поскольку большая часть электронной почты отправляется в виде открытого текста , сообщение, содержащее пароль, может быть легко прочитано во время транспортировки любым перехватчиком. Далее сообщение будет храниться в виде открытого текста как минимум на двух компьютерах: отправителя и получателя. Если во время своего путешествия он проходит через промежуточные системы, он, вероятно, также будет храниться там, по крайней мере, в течение некоторого времени, и может быть скопирован в резервные копии , кэш или файлы истории в любой из этих систем.

Использование шифрования на стороне клиента защитит только передачу с сервера системы обработки почты на клиентский компьютер. Предыдущие или последующие ретрансляции электронной почты не будут защищены, и электронная почта, вероятно, будет храниться на нескольких компьютерах, особенно на исходном и получающем компьютерах, чаще всего в виде открытого текста.

Передача по зашифрованным каналам

Риск перехвата паролей, отправляемых через Интернет, можно снизить, в том числе за счет использования криптографической защиты. Наиболее широко используемой является функция Transport Layer Security (TLS, ранее называвшаяся SSL ), встроенная в большинство современных интернет- браузеров . Большинство браузеров предупреждают пользователя об обмене с сервером, защищенном TLS/SSL, отображая значок закрытого замка или какой-либо другой знак, когда TLS используется. Используется несколько других методов; см. криптография .

Методы запроса-ответа на основе хэша

К сожалению, существует конфликт между сохраненными хешированными паролями и аутентификацией типа «запрос-ответ» на основе хэша ; последний требует, чтобы клиент доказал серверу, что он знает общий секрет (т. е. пароль), и для этого сервер должен иметь возможность получить общий секрет из его сохраненной формы. Во многих системах (включая системы типа Unix ), выполняющих удаленную аутентификацию, общий секрет обычно принимает хешированную форму и имеет серьезное ограничение, заключающееся в раскрытии паролей для атак с подбором в автономном режиме. Кроме того, когда хэш используется в качестве общего секрета, злоумышленнику не требуется исходный пароль для удаленной аутентификации; им нужен только хэш.

Подтверждение пароля с нулевым разглашением

Вместо передачи пароля или передачи хеша пароля системы согласования ключей с аутентификацией по паролю могут выполнять доказательство пароля с нулевым разглашением , которое доказывает знание пароля, не раскрывая его.

Сделав еще один шаг вперед, расширенные системы для соглашения о ключах, проверяемых паролем (например, AMP, B-SPEKE , PAK-Z, SRP-6 ), позволяют избежать как конфликта, так и ограничений методов на основе хэша. Дополненная система позволяет клиенту доказать знание пароля серверу, где сервер знает только (не совсем) хешированный пароль, а для получения доступа требуется нехешированный пароль.

Процедуры смены паролей

Обычно система должна предоставлять возможность изменить пароль либо потому, что пользователь считает, что текущий пароль был (или мог быть) взломан, либо в качестве меры предосторожности. Если новый пароль передается в систему в незашифрованном виде, безопасность может быть потеряна (например, из-за прослушивания телефонных разговоров ) еще до того, как новый пароль будет установлен в базе данных паролей , а если новый пароль будет передан скомпрометированному сотруднику, мало что будет получено. . Некоторые веб-сайты включают выбранный пользователем пароль в незашифрованное сообщение электронной почты с подтверждением, что явно повышает уязвимость.

Системы управления идентификацией все чаще используются для автоматизации выдачи замен утерянных паролей, функция, называемая самостоятельным сбросом пароля . Личность пользователя проверяется путем задания вопросов и сравнения ответов с ранее сохраненными (т. е. при открытии учетной записи).

В некоторых вопросах по сбросу пароля требуется указать личную информацию, которую можно найти в социальных сетях, например девичью фамилию матери. В результате некоторые эксперты по безопасности рекомендуют либо придумывать вопросы самостоятельно, либо давать ложные ответы. [35]

Срок действия пароля

«Устаревание пароля» — это особенность некоторых операционных систем, которая вынуждает пользователей часто менять пароли (например, ежеквартально, ежемесячно или даже чаще). Такая политика обычно провоцирует в лучшем случае протест и затягивание действий пользователей, а в худшем — враждебность. Часто увеличивается число людей, которые записывают пароль и оставляют его там, где его можно легко найти, а также звонят в службу поддержки, чтобы сбросить забытый пароль. Пользователи могут использовать более простые пароли или разрабатывать шаблоны вариаций на единую тему, чтобы их пароли запоминались. [36] Из-за этих проблем ведутся споры о том, эффективно ли устаревание пароля. [37] Изменение пароля в большинстве случаев не предотвратит злоупотребления, поскольку зачастую злоупотребления могут быть сразу заметны. Однако если кто-то мог получить доступ к паролю каким-либо образом, например, при совместном использовании компьютера или взломе другого сайта, изменение пароля ограничивает возможности для злоупотреблений. [38]

Количество пользователей на пароль

Предпочтительно выделять отдельные пароли каждому пользователю системы, чем иметь один пароль, которым пользуются законные пользователи системы, конечно, с точки зрения безопасности. Частично это связано с тем, что пользователи с большей готовностью сообщают другому человеку (который может быть не авторизован) общий пароль, чем тот, который предназначен исключительно для их использования. Одиночные пароли также гораздо менее удобно менять, поскольку их нужно сообщить многим людям одновременно, и они затрудняют удаление доступа конкретного пользователя, например, при увольнении или увольнении. Отдельные логины также часто используются для подотчетности, например, чтобы узнать, кто изменил часть данных.

Архитектура безопасности паролей

Общие методы, используемые для повышения безопасности компьютерных систем, защищенных паролем, включают:

Некоторые из более строгих мер по обеспечению соблюдения политики могут создать риск отчуждения пользователей, что может привести к снижению безопасности.

Повторное использование пароля

Среди пользователей компьютеров обычной практикой является повторное использование одного и того же пароля на нескольких сайтах. Это представляет существенную угрозу безопасности, поскольку злоумышленнику достаточно скомпрометировать только один сайт, чтобы получить доступ к другим сайтам, которые использует жертва. Эта проблема усугубляется повторным использованием имен пользователей и веб-сайтами, требующими входа в систему по электронной почте, поскольку злоумышленнику легче отслеживать одного пользователя на нескольких сайтах. Повторного использования паролей можно избежать или свести к минимуму, используя мнемонические приемы , записывая пароли на бумаге или используя менеджер паролей . [43]

Исследователи из Редмонда Диней Флоренсио и Кормак Херли вместе с Полом К. ван Ооршотом из Карлтонского университета, Канада, утверждают , что повторное использование паролей неизбежно и что пользователи должны повторно использовать пароли для веб-сайтов с низким уровнем безопасности (которые содержат мало личных данных и никакой финансовой информации, например) и вместо этого сосредотачивают свои усилия на запоминании длинных и сложных паролей для нескольких важных учетных записей, таких как банковские счета. [44] Аналогичные аргументы приводил Forbes в пользу того, чтобы не менять пароли так часто, как советуют многие «эксперты», из-за тех же ограничений человеческой памяти. [36]

Запись паролей на бумаге

Исторически сложилось так, что многие эксперты по безопасности просили людей запоминать свои пароли: «Никогда не записывайте пароль». Совсем недавно многие эксперты по безопасности, такие как Брюс Шнайер, рекомендовали людям использовать пароли, которые слишком сложны для запоминания, записывать их на бумаге и хранить в кошельке. [45] [46] [47 ] [48] [49] [50] [51]

Программное обеспечение менеджера паролей также может относительно безопасно хранить пароли в зашифрованном файле, запечатанном одним мастер-паролем.

После смерти

Согласно опросу, проведенному Лондонским университетом в 2011 году , каждый десятый человек теперь оставляет свои пароли в своем завещании, чтобы передать эту важную информацию после смерти. Согласно опросу, треть людей согласны с тем, что их данные, защищенные паролем, достаточно важны, чтобы их можно было передать по завещанию. [52]

Многофакторная аутентификация

Схемы многофакторной аутентификации сочетают пароли (как «факторы знаний») с одним или несколькими другими средствами аутентификации, чтобы сделать аутентификацию более безопасной и менее уязвимой для скомпрометированных паролей. Например, простой двухфакторный вход в систему может отправлять текстовое сообщение, электронное письмо, автоматический телефонный звонок или подобное оповещение при каждой попытке входа в систему, возможно, предоставляя код, который необходимо ввести в дополнение к паролю. [53] Более сложные факторы включают в себя такие вещи, как аппаратные токены и биометрическая безопасность.

Ротация паролей

Ротация паролей — это политика, которая обычно применяется с целью повышения компьютерной безопасности . В 2019 году Microsoft заявила, что эта практика «древняя и устаревшая». [54] [55]

Правила пароля

Большинство организаций определяют политику паролей , которая устанавливает требования к составу и использованию паролей, обычно определяя минимальную длину, обязательные категории (например, верхний и нижний регистр, цифры и специальные символы), запрещенные элементы (например, использование собственного имени, дата рождения, адрес, номер телефона). В некоторых правительствах существуют национальные системы аутентификации [56] , которые определяют требования к аутентификации пользователей для доступа к государственным службам, включая требования к паролям.

Многие веб-сайты применяют стандартные правила, такие как минимальная и максимальная длина, но также часто включают правила композиции, такие как наличие хотя бы одной заглавной буквы и хотя бы одной цифры/символа. Эти последние, более конкретные правила были в основном основаны на отчете Национального института стандартов и технологий (NIST) за 2003 год, автором которого является Билл Берр. [57] Первоначально он предлагал практику использования цифр, непонятных символов и заглавных букв и регулярное обновление. В статье в The Wall Street Journal за 2017 год Берр сообщил, что сожалеет об этих предложениях и допустил ошибку, когда рекомендовал их. [58]

Согласно переписанному в 2017 году отчету NIST, на многих веб-сайтах действуют правила, которые на самом деле оказывают противоположное влияние на безопасность их пользователей. Сюда входят сложные правила составления, а также принудительная смена пароля через определенные промежутки времени. Хотя эти правила уже давно широко распространены, они также долгое время считались раздражающими и неэффективными как пользователями, так и экспертами по кибербезопасности. [59] NIST рекомендует людям использовать в качестве паролей более длинные фразы (и советует веб-сайтам увеличить максимальную длину пароля) вместо трудно запоминающихся паролей с «иллюзорной сложностью», таких как «pA55w+rd». [60] Пользователь, которому запрещено использовать пароль «пароль», может просто выбрать «Пароль1», если требуется включить цифру и заглавную букву. В сочетании с принудительной периодической сменой паролей это может привести к тому, что пароли будет трудно запомнить, но их будет легко взломать. [57]

Пол Грасси, один из авторов отчета NIST за 2017 год, уточнил: «Все знают, что восклицательный знак — это 1, или I, или последний символ пароля. $ — это S или 5. Если мы будем использовать их правильно, - известные трюки, мы не обманываем противника. Мы просто обманываем базу данных, в которой хранятся пароли, заставляя ее думать, что пользователь сделал что-то хорошее». [59]

Пиерис Цоккис и Элиана Ставру смогли выявить некоторые неверные стратегии создания паролей благодаря исследованию и разработке инструмента генератора паролей. Они разработали восемь категорий стратегий создания паролей на основе открытых списков паролей, инструментов взлома паролей и онлайн-отчетов со ссылками на наиболее часто используемые пароли. Эти категории включают информацию, связанную с пользователем, комбинации и шаблоны клавиатуры, стратегию размещения, обработку текста, замену, использование заглавных букв, добавление дат и комбинацию предыдущих категорий [61].

Взлом пароля

Попытка взломать пароли, используя столько возможностей, сколько позволяют время и деньги, является атакой методом перебора . Родственный метод, гораздо более эффективный в большинстве случаев, — это атака по словарю . При атаке по словарю проверяются все слова в одном или нескольких словарях. Обычно также проверяются списки общих паролей.

Надежность пароля — это вероятность того, что пароль невозможно угадать или обнаружить, и она зависит от используемого алгоритма атаки. Криптологи и компьютерщики часто называют силу или «твердость» энтропией . [14]

Пароли, которые легко обнаружить, называются слабыми или уязвимыми ; пароли, которые очень трудно или невозможно обнаружить, считаются надежными . Существует несколько программ для атаки на пароль (или даже для проверки и восстановления системным персоналом), например L0phtCrack , John the Ripper и Cain ; некоторые из них используют уязвимости в конструкции паролей (например, в системе Microsoft LANManager) для повышения эффективности. Эти программы иногда используются системными администраторами для обнаружения слабых паролей, предложенных пользователями.

Исследования производственных компьютерных систем неизменно показывают, что значительная часть всех паролей, выбираемых пользователем, легко угадывается автоматически. Например, Колумбийский университет обнаружил, что 22% паролей пользователей можно восстановить без особых усилий. [62] По словам Брюса Шнайера , анализируя данные фишинговой атаки 2006 года, 55% паролей MySpace можно было бы взломать за 8 часов с помощью коммерчески доступного набора инструментов для восстановления паролей, способного проверять 200 000 паролей в секунду в 2006 году. [63] Он также сообщил что самым распространенным паролем был пароль1 , что еще раз подтверждает общую нехватку информированности при выборе паролей среди пользователей. (Тем не менее, на основании этих данных он утверждал, что общее качество паролей с годами улучшилось — например, средняя длина паролей составляла до восьми символов вместо менее семи в предыдущих опросах, и менее 4% составляли словарные слова. [64 ] ] )

Инциденты

Альтернативы паролям для аутентификации

Многочисленные способы взлома постоянных или полупостоянных паролей побудили к разработке других методов. Некоторые из них на практике неадекватны, и в любом случае лишь немногие из них стали общедоступными для пользователей, ищущих более безопасную альтернативу. [72] В статье 2012 года [73] исследуется, почему пароли оказалось так сложно заменить (несмотря на многочисленные предсказания, что они скоро уйдут в прошлое [74] ); Изучив тридцать репрезентативных предложенных замен с точки зрения безопасности, удобства использования и развертывания, они пришли к выводу, что «ни одна из них даже не сохраняет полный набор преимуществ, которые уже предоставляют устаревшие пароли».

«Пароль мертв»

«Пароль устарел» — это повторяющаяся идея в области компьютерной безопасности . В качестве причин часто упоминаются проблемы удобства использования , а также проблемы безопасности паролей. Это часто сопровождает аргументы о том, что замена паролей более безопасными средствами аутентификации необходима и неизбежна. Это утверждение высказывалось многими людьми, по крайней мере, с 2004 года. [74] [84] [85] [86] [87] [88] [89] [90]

Альтернативы паролям включают биометрию , двухфакторную аутентификацию или единый вход , Microsoft Cardspace , проект Хиггинса , Liberty Alliance , NSTIC , FIDO Alliance и различные предложения Identity 2.0. [91] [92]

Однако, несмотря на эти прогнозы и попытки их заменить, пароли по-прежнему остаются доминирующей формой аутентификации в сети. В книге «Постоянство паролей» Кормак Херли и Пол ван Оршот предполагают, что следует приложить все усилия, чтобы положить конец «крайне неверному предположению», что пароли мертвы. [93] Они утверждают, что «ни одна другая технология не может сравниться с ними по сочетанию стоимости, оперативности и удобства» и что «пароли сами по себе лучше всего подходят для многих сценариев, в которых они используются в настоящее время».

После этого Бонно и др. систематически сравнивал веб-пароли с 35 конкурирующими схемами аутентификации с точки зрения их удобства использования, развертывания и безопасности. [94] [95] Их анализ показывает, что большинство схем лучше, чем пароли, с точки зрения безопасности, некоторые схемы лучше, а некоторые хуже с точки зрения удобства использования, в то время как каждая схема хуже, чем пароли, с точки зрения развертывания. Авторы заключают следующее наблюдение: «Предельные выгоды часто недостаточны для достижения энергии активации, необходимой для преодоления значительных издержек перехода, что может дать лучшее объяснение того, почему мы, вероятно, проживем значительно дольше, прежде чем увидим прибытие похоронной процессии за паролями». на кладбище».

Смотрите также

Рекомендации

  1. ^ Ранджан, Пратик; Ом, Хари (6 мая 2016 г.). «Эффективная схема аутентификации пароля удаленного пользователя на основе криптосистемы Рабина». Беспроводная персональная связь . 90 (1): 217–244. дои : 10.1007/s11277-016-3342-5. ISSN  0929-6212. S2CID  21912076.
  2. ↑ Аб Уильямс, Шеннон (21 октября 2020 г.). «У среднестатистического человека 100 паролей – учитесь». НордПасс . Проверено 28 апреля 2021 г.
  3. ^ Аб Грасси, Пол А.; Гарсия, Майкл Э.; Фентон, Джеймс Л. (июнь 2017 г.). «Специальная публикация NIST 800-63-3: Рекомендации по цифровой идентификации». Национальный институт стандартов и технологий (NIST). doi : 10.6028/NIST.SP.800-63-3 . Проверено 17 мая 2019 г. {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
  4. ^ «Протокол аутентификации». Ресурсный центр компьютерной безопасности (NIST). Архивировано из оригинала 17 мая 2019 года . Проверено 17 мая 2019 г.
  5. ^ «Парольная фраза». Ресурсный центр компьютерной безопасности (NIST) . Проверено 17 мая 2019 г.
  6. ^ Полибий о римских военных. Архивировано 7 февраля 2008 г. в Wayback Machine . Ancienthistory.about.com (13 апреля 2012 г.). Проверено 20 мая 2012 г.
  7. ^ Марк Бандо (2007). 101-я воздушно-десантная дивизия: Кричащие орлы во Второй мировой войне. Издательская компания Мби. ISBN 978-0-7603-2984-9. Архивировано из оригинала 2 июня 2013 года . Проверено 20 мая 2012 г.
  8. Макмиллан, Роберт (27 января 2012 г.). «Первый в мире компьютерный пароль? Он тоже был бесполезен». Проводной журнал . Проверено 22 марта 2019 г.
  9. Хант, Трой (26 июля 2017 г.). «Пароли эволюционировали: руководство по аутентификации для современной эпохи» . Проверено 22 марта 2019 г.
  10. ^ Руководство программиста CTSS, 2-е изд., MIT Press, 1965 г.
  11. ^ Моррис, Роберт; Томпсон, Кен (3 апреля 1978 г.). «Безопасность паролем: история болезни». Лаборатории Белла . CiteSeerX 10.1.1.128.1635 . 
  12. Вэнс, Эшли (10 января 2010 г.). «Если ваш пароль 123456, просто взломайте его». Нью-Йорк Таймс . Архивировано из оригинала 11 февраля 2017 года.
  13. ^ «Управление сетевой безопасностью». Архивировано из оригинала 2 марта 2008 года . Проверено 31 марта 2009 г.{{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка ). Фред Коэн и партнеры. All.net. Проверено 20 мая 2012 г.
  14. ^ abcd Лундин, Ли (11 августа 2013 г.). «ПИН-коды и пароли, часть 2». Пароли . Орландо: SleuthSayers.
  15. ^ Запоминаемость и безопасность паролей. Архивировано 14 апреля 2012 г. в Wayback Machine (pdf). ncl.ac.uk. Проверено 20 мая 2012 г.
  16. ^ Майкл Э. Уитмен; Герберт Дж. Мэтторд (2014). Принципы информационной безопасности. Cengage Обучение. п. 162. ИСБН 978-1-305-17673-7.
  17. ^ «Как создать генератор случайных паролей» . ПКМАГ . Проверено 5 сентября 2021 г.
  18. ^ Льюис, Дэйв (2011). Ctrl-Alt-Удалить. Лулу.com. п. 17. ISBN 978-1471019111. Проверено 10 июля 2015 г.
  19. Techlicious / Фокс Ван Аллен @techlicious (8 августа 2013 г.). «Google раскрывает 10 худших идей паролей | TIME.com». Techland.time.com. Архивировано из оригинала 22 октября 2013 года . Проверено 16 октября 2013 г.
  20. Флейшман, Гленн (24 ноября 2015 г.). «Записывайте свои пароли, чтобы повысить безопасность. Противоречивая идея делает вас менее уязвимыми для удаленных атак, а не более». МакВорлд . Проверено 28 апреля 2021 г.
  21. ^ ab Блог Lyquix: Нужно ли нам скрывать пароли? Архивировано 25 апреля 2012 года в Wayback Machine . Lyquix.com. Проверено 20 мая 2012 г.
  22. Джонатан Кент Малайзийские воры украли палец. Архивировано 20 ноября 2010 года в Wayback Machine . Би-би-си (31 марта 2005 г.)
  23. ^ Стюарт Браун «Десять лучших паролей, используемых в Соединенном Королевстве». Архивировано из оригинала 8 ноября 2006 года . Проверено 14 августа 2007 г.. Modernlifeisrubbish.co.uk (26 мая 2006 г.). Проверено 20 мая 2012 г.
  24. ^ Патент США 8046827. 
  25. ^ Уилкс, М.В. Компьютерные системы с разделением времени. Американский Эльзевир, Нью-Йорк (1968).
  26. Шофилд, Джек (10 марта 2003 г.). «Роджер Нидэм». Хранитель .
  27. ^ Заклинатель ошибок: пароли имеют значение. Архивировано 2 ноября 2013 г. в Wayback Machine . Bugcharmer.blogspot.com (20 июня 2012 г.). Проверено 30 июля 2013 г.
  28. ^ АБ Александр, Стивен. (20 июня 2012 г.) The Bug Charmer: Какой длины должны быть пароли? Архивировано 20 сентября 2012 года в Wayback Machine . Bugcharmer.blogspot.com. Проверено 30 июля 2013 г.
  29. ^ «passlib.hash — Схемы хеширования паролей». Архивировано 21 июля 2013 г. на Wayback Machine .
  30. ^ ab Florencio et al., Руководство администратора по исследованию паролей в Интернете. Архивировано 14 февраля 2015 г. в Wayback Machine . (pdf) Проверено 14 марта 2015 г.
  31. ^ История взлома - Как я взломал более 122 миллионов хешированных паролей SHA1 и MD5 «Блог Thireus' Bl0g. Архивировано 30 августа 2012 г. на Wayback Machine . Blog.thireus.com (29 августа 2012 г.). Проверено 30 июля 2013 г.
  32. ^ Аб Моррис, Роберт и Томпсон, Кен (1979). «Безопасность паролем: история болезни». Коммуникации АКМ . 22 (11): 594–597. CiteSeerX 10.1.1.135.2097 . дои : 10.1145/359168.359172. S2CID  207656012. Архивировано из оригинала 22 марта 2003 года. 
  33. ^ Защита паролем для современных операционных систем. Архивировано 11 марта 2016 г. в Wayback Machine (pdf). Usenix.org. Проверено 20 мая 2012 г.
  34. ^ Как запретить Windows сохранять хэш вашего пароля диспетчера локальной сети в Active Directory и локальных базах данных SAM. Архивировано 9 мая 2006 г. на Wayback Machine . support.microsoft.com (3 декабря 2007 г.). Проверено 20 мая 2012 г.
  35. ^ «Почему вы должны лгать при настройке контрольных вопросов для пароля» . Технический. 8 марта 2013 г. Архивировано из оригинала 23 октября 2013 г. . Проверено 16 октября 2013 г.
  36. ^ аб Джозеф Стейнберг (12 ноября 2014 г.). «Forbes: почему вам следует игнорировать все, что вам говорили о выборе паролей». Форбс . Архивировано из оригинала 12 ноября 2014 года . Проверено 12 ноября 2014 г.
  37. ^ «Проблемы с принудительным истечением срока действия обычного пароля» . ИА имеет значение . CESG: подразделение информационной безопасности GCHQ. 15 апреля 2016 года. Архивировано из оригинала 17 августа 2016 года . Проверено 5 августа 2016 г.
  38. ^ Шнайер об обсуждении безопасности при смене паролей. Архивировано 30 декабря 2010 г. в Wayback Machine . Шнайер.com. Проверено 20 мая 2012 г.
  39. ^ Зельцер, Ларри. (9 февраля 2010 г.) «American Express: надежная кредитная история, слабые пароли». Архивировано 12 июля 2017 г. в Wayback Machine . Pcmag.com. Проверено 20 мая 2012 г.
  40. ^ «Десять мифов о паролях Windows». Архивировано 28 января 2016 г. на Wayback Machine : «Диалоговые окна NT… длина паролей ограничена максимум 14 символами».
  41. ^ «Вы должны указать пароль длиной от 1 до 8 символов». Jira.codehaus.org. Проверено 20 мая 2012 года. Архивировано 21 мая 2015 года в Wayback Machine.
  42. ^ «Капитализировать или не капитализировать?» Архивировано 17 февраля 2009 года в Wayback Machine . World.std.com. Проверено 20 мая 2012 г.
  43. Томас, Кейр (10 февраля 2011 г.). «Исследование показывает, что повторное использование паролей слишком распространено». Мир ПК . Архивировано из оригинала 12 августа 2014 года . Проверено 10 августа 2014 г.
  44. Паули, Даррен (16 июля 2014 г.). «Microsoft: Вам НУЖНЫ плохие пароли, и вам следует часто их использовать». Регистр . Архивировано из оригинала 12 августа 2014 года . Проверено 10 августа 2014 г.
  45. Брюс Шнайер: Информационный бюллетень Crypto-Gram. Архивировано 15 ноября 2011 г. в Wayback Machine , 15 мая 2001 г.
  46. ^ «Десять мифов о паролях Windows». Архивировано 28 января 2016 г. на Wayback Machine : Миф №7. Вы никогда не должны записывать свой пароль
  47. ^ Котадиа, Мунир (23 мая 2005 г.) Гуру безопасности Microsoft: Запишите свои пароли. News.cnet.com. Проверено 20 мая 2012 г.
  48. ^ «Дилемма надежного пароля». Архивировано 18 июля 2010 года в Wayback Machine Ричардом Э. Смитом: «Мы можем резюмировать классические правила выбора пароля следующим образом: пароль должен быть невозможно запомнить и никогда не записывать».
  49. ^ Боб Дженкинс (11 января 2013 г.). «Выбор случайного пароля». Архивировано из оригинала 18 сентября 2010 года.
  50. ^ «Запоминаемость и безопасность паролей - некоторые эмпирические результаты». Архивировано 19 февраля 2011 г. в Wayback Machine (pdf).
    «Ваш пароль... в безопасном месте, например, на задней стороне бумажника или сумочки».
  51. ^ "Должен ли я записать свою парольную фразу?" Архивировано 17 февраля 2009 года в Wayback Machine . World.std.com. Проверено 20 мая 2012 г.
  52. Джаффери, Саман М. (17 октября 2011 г.). «Опрос: 11% британцев включают в завещание интернет-пароли». ТОО «Халл энд Халл». Архивировано из оригинала 25 декабря 2011 года . Проверено 16 июля 2012 г.
  53. Двухфакторная аутентификация. Архивировано 18 июня 2016 г. на Wayback Machine.
  54. Гудин, Дэн (3 июня 2019 г.). «Microsoft заявляет, что обязательная смена пароля является «древней и устаревшей»». Арс Техника . Проверено 1 ноября 2022 г.
  55. Кристен Ранта-Хайкал Уилсон (9 марта 2020 г.). «Дебаты вокруг политики ротации паролей». Институт САНС . Проверено 31 октября 2022 г.
  56. ^ Аль-Файяд, Бандер; Торсхайм, Пер; Йосанг, Аудун; Клевьер, Хеннинг. «Повышение удобства управления паролями с помощью стандартизированных политик паролей» (PDF) . Архивировано (PDF) из оригинала 20 июня 2013 года . Проверено 12 октября 2012 г.
  57. ↑ Аб Тунг, Лиам (9 августа 2017 г.). «Ненавидишь глупые правила паролей? То же самое делает и парень, который их создал». ЗДНет . Архивировано из оригинала 29 марта 2018 года.
  58. Макмиллан, Роберт (7 августа 2017 г.). «У человека, написавшего эти правила паролей, есть новый совет: N3v$r M1^d!» . Журнал "Уолл Стрит . Архивировано из оригинала 9 августа 2017 года.
  59. ^ Аб Робертс, Джефф Джон (11 мая 2017 г.). «Эксперты говорят, что мы наконец-то можем отказаться от этих дурацких правил паролей» . Удача . Архивировано из оригинала 28 июня 2018 года.
  60. Вишневский, Честер (18 августа 2016 г.). «Новые правила паролей NIST – что вам нужно знать». Голая охрана . Архивировано из оригинала 28 июня 2018 года.
  61. ^ П. Цоккис и Э. Ставру, «Инструмент генератора паролей для повышения осведомленности пользователей о стратегиях создания плохих паролей», Международный симпозиум по сетям, компьютерам и коммуникациям (ISNCC), 2018 г., Рим, 2018 г., стр. 1-5, doi :10.1109/ISNCC.2018.8531061.
  62. ^ «Пароль». Архивировано из оригинала 23 апреля 2007 года . Проверено 20 мая 2012 г.{{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка ). cs.columbia.edu
  63. ^ Шнайер, Пароли из реального мира. Архивировано 23 сентября 2008 г. в Wayback Machine . Шнайер.com. Проверено 20 мая 2012 г.
  64. ^ Пароли MySpace не такие уж и глупые. Архивировано 29 марта 2014 г. в Wayback Machine . Wired.com (27 октября 2006 г.). Проверено 20 мая 2012 г.
  65. ^ "СЕРТ ИН-98.03" . 16 июля 1998 года . Проверено 9 сентября 2009 г.
  66. ^ аб Урбина, Ян; Дэвис, Лесли (23 ноября 2014 г.). «Тайная жизнь паролей». Нью-Йорк Таймс . Архивировано из оригинала 28 ноября 2014 года.
  67. ^ «Наихудшие практики использования потребительских паролей (pdf)» (PDF) . Архивировано (PDF) из оригинала 28 июля 2011 года.
  68. ^ «Сайт НАТО взломан» . Регистр . 24 июня 2011 года. Архивировано из оригинала 29 июня 2011 года . Проверено 24 июля 2011 г.
  69. ^ «Анонимные утечки 90 000 учетных записей военной электронной почты в ходе последней антибезопасной атаки» . 11 июля 2011 г. Архивировано из оригинала 14 июля 2017 г.
  70. ^ «Анализ военных паролей». 12 июля 2011 г. Архивировано из оригинала 15 июля 2011 г.
  71. ^ «В результате взлома Linkedin в 2012 году было украдено 117 миллионов электронных писем и паролей, а не 6,5 миллионов - Новости безопасности» . www.trendmicro.com . 18 мая 2016 года . Проверено 11 октября 2023 г.
  72. ^ «12 лучших методов взлома паролей, используемых хакерами» . ЭТО ПРО . 14 октября 2019 г. Проверено 18 июля 2022 г.
  73. ^ «В поисках замены паролей (pdf)» (PDF) . IEEE. 15 мая 2012 г. Архивировано (PDF) из оригинала 19 марта 2015 г. . Проверено 11 марта 2015 г.
  74. ^ ab «Гейтс предсказывает смерть пароля». CNET . 25 февраля 2004 г. Архивировано из оригинала 2 апреля 2015 г. Проверено 14 марта 2015 г.
  75. ^ Архив криптологии ePrint: отчет 2005/434. Архивировано 14 июня 2006 г. в Wayback Machine . eprint.iacr.org. Проверено 20 мая 2012 г.
  76. ^ Т. Мацумото. Х Мацумотот; К. Ямада и С. Хосино (2002). Ван Ренесс, Рудольф Л. (ред.). «Воздействие искусственных «клейких» пальцев на системы отпечатков пальцев». Процесс SPIE . Оптическая безопасность и методы защиты от подделок IV. 4677 : 275. Бибкод : 2002SPIE.4677..275M. дои : 10.1117/12.462719. S2CID  16897825.
  77. ^ Использование AJAX для паролей изображений — Безопасность AJAX, часть 1 из 3. Архивировано 16 июня 2006 г. на Wayback Machine . waelchatila.com (18 сентября 2005 г.). Проверено 20 мая 2012 г.
  78. ^ Батлер, Рик А. (21 декабря 2004 г.) Лицо в толпе. Архивировано 27 июня 2006 г. в Wayback Machine . mcpmag.com. Проверено 20 мая 2012 г.
  79. ^ графический пароль или графическая аутентификация пользователя (GUA). Архивировано 21 февраля 2009 г. на Wayback Machine . searchsecurity.techtarget.com. Проверено 20 мая 2012 г.
  80. Эрика Чиковски (3 ноября 2010 г.). «Изображения могут изменить изображение аутентификации». Мрачное чтение. Архивировано из оригинала 10 ноября 2010 года.
  81. ^ «Confident Technologies обеспечивает многофакторную аутентификацию на основе изображений для усиления паролей на общедоступных веб-сайтах» . 28 октября 2010 г. Архивировано из оригинала 7 ноября 2010 г.
  82. ^ Руководство пользователя по методу и системе ввода двумерного ключа (2D-ключа). Архивировано 18 июля 2011 г. на Wayback Machine . xpreeli.com. (8 сентября 2008 г.) . Проверено 20 мая 2012 г.
  83. ^ Патент Кок-Ва Ли «Методы и системы для создания больших запоминающихся секретов и их применение» US20110055585. Архивировано 13 апреля 2015 г. в Wayback Machine , WO2010010430. Дата подачи: 18 декабря 2008 г.
  84. Котадиа, Мунир (25 февраля 2004 г.). «Гейтс предсказывает смерть пароля». ЗДНет . Проверено 8 мая 2019 г.
  85. ^ «IBM представляет пять инноваций, которые изменят нашу жизнь в течение пяти лет» . ИБМ. 19 декабря 2011 года. Архивировано из оригинала 17 марта 2015 года . Проверено 14 марта 2015 г.
  86. Хонан, Мэт (15 мая 2012 г.). «Убейте пароль: почему строка символов больше не может нас защитить». Проводной . Архивировано из оригинала 16 марта 2015 года . Проверено 14 марта 2015 г.
  87. ^ «Отдел безопасности Google: «Пароли мертвы»» . CNET . 25 февраля 2004 г. Архивировано из оригинала 2 апреля 2015 г. Проверено 14 марта 2015 г.
  88. ^ «Аутентификация в масштабе». IEEE. 25 января 2013 года. Архивировано из оригинала 2 апреля 2015 года . Проверено 12 марта 2015 г.
  89. Мимс, Кристофер (14 июля 2014 г.). «Пароль наконец-то умирает. Вот мой». Журнал "Уолл Стрит . Архивировано из оригинала 13 марта 2015 года . Проверено 14 марта 2015 г.
  90. ^ «Кража российских учетных данных показывает, почему пароль мертв» . Компьютерный мир . 14 августа 2014 года. Архивировано из оригинала 2 апреля 2015 года . Проверено 14 марта 2015 г.
  91. ^ «Глава NSTIC Джереми Грант хочет уничтожить пароли» . Федсовок. 14 сентября 2014 года. Архивировано из оригинала 18 марта 2015 года . Проверено 14 марта 2015 г.
  92. ^ «Обзор технических характеристик» . Альянс ФИДО. 25 февраля 2014 г. Архивировано из оригинала 15 марта 2015 г. Проверено 15 марта 2015 г.
  93. ^ «Программа исследований, подтверждающая устойчивость паролей» . IEEE Безопасность и конфиденциальность. Январь 2012. Архивировано из оригинала 20 июня 2015 года . Проверено 20 июня 2015 г.
  94. ^ Бонно, Джозеф; Херли, Кормак; Ооршот, Пол К. ван; Стахано, Франк (2012). «В поисках замены паролей: основа сравнительной оценки схем веб-аутентификации». Технический отчет – Кембриджский университет. Компьютерная лаборатория . Кембридж, Великобритания: Компьютерная лаборатория Кембриджского университета. дои : 10.48456/tr-817. ISSN  1476-2986 . Проверено 22 марта 2019 г.
  95. ^ Бонно, Джозеф; Херли, Кормак; Ооршот, Пол К. ван; Стахано, Франк (2012). «В поисках замены паролей: основа сравнительной оценки схем веб-аутентификации». Симпозиум IEEE 2012 по безопасности и конфиденциальности . Симпозиум IEEE 2012 по безопасности и конфиденциальности. Сан-Франциско, Калифорния. стр. 553–567. дои :10.1109/СП.2012.44. ISBN 978-1-4673-1244-8.

Внешние ссылки