Ученый из Кембриджа исследовал надежность паролей, составленных разными способами.
Наименее надежными оказались пароли из восьми символов, придуманные пользователями. Эксперт компьютерной лаборатории Кембриджского университета Росс Андерсон (Ross Anderson) в своей книге «Инженерия безопасности. Издание 2-е» (Security Engineering 2nd Edition) описал исследования паролей на предмет их надежности.
Целью исследования было установление того, какие пароли (придуманные пользователями, случайно сгенерированные или составленные на основе парольных фраз) являются самыми надежными. В эксперименте приняло участие 300 студентов университета. Добровольцы были разделены на три группы («красная», «желтая» и «зеленая») по 100 человек в каждой.
Самая слабая защита у паролей, придуманных самими пользователями
Участники «красной» группы самостоятельно придумывали пароли, состоящие из 8 символов, как минимум, один из которых не являлся буквой. Студенты из «желтой» группы придумывали пароль, состоящий из первых букв и знаков препинания известных фраз или поговорок (например, пароль «Wyc-swyg» получился из «What you see is what you get»). «Зеленая» группа получила сто случайно сгенерированных паролей. Участники должны были запомнить их и уничтожить.
Таким образом, исследователи хотели выяснить, насколько хорошо пользователи запоминают пароли и степень возможности подобрать (взломать) пароль. Результаты исследования оказались для экспертов несколько неожиданными. Им удалось успешно взломать 30% паролей, придуманных участниками «красной» группы, в то время, как для «желтой» и «зеленой» групп этот показатель равняется всего 10%. Из этого следует, что случайно сгенерированные пароли, а также пароли, созданные из фраз, являются сравнительно безопасными.
Кроме того, оказалось, что участники «красной» и «зеленой» групп с легкостью запомнили свои пароли, тогда как студенты «желтой» группы испытывали некоторые трудности, тем не менее, все три группы обращались в службу поддержки за сбросом пароля примерно с одинаковой частотой.