На первый взгляд кажется, что автокоррекция паролей — ужасная идея с точки зрения безопасности и очень невыгодный компромисс между безопасностью и удобством.
Тем не менее группа ученых из Корнуэлльского университета и Массачусетского технологического института вместе с инженером по безопасности из компании Dropbox пришла к выводу, что подобные модификации механизма аутентификации не снижают уровень безопасности.
Исследователи — Рахул Чаттерджи (Rahul Chatterjee), Ари Джулс (Ari Juels) и Томас Ристенпарт (Thomas Ristenpart) из Корнуэлльского университета, Аниш Аталие (Anish Athalye) из MIT и Девдатта Ахаве (Devdatta Akhawe) из Dropbox — презентовали свое исследование в научном труде «pASSWORD tYPOS and How to Correct Them Securely» («оПЕЧАТКИ в пАРОЛЯХ и безопасные методы их исправления») на недавно прошедшем симпозиуме IEEE, посвященном безопасности и приватности.
В статье описывается технология, которую ученые назвали «пароли, терпимые к опечаткам»; она делает ввод пароля более удобным, но при этом не снижает уровень безопасности. Как выявили ученые, существуют три основные причины, по которым пользователи делают опечатки при вводе пароля: случайное нажатие клавиши CapsLock, случайный ввод первой заглавной буквы, добавление или удаление символов в начале или в конце пароля.
Используя метод автокоррекции, исследователи смогли снизить количество частых ошибок при вводе пароля и таким образом сделать жизнь пользователей чуть легче.
«Как показал эксперимент, почти 10% попыток ввода пароля неудачны из-за нескольких типичных и легко исправляемых опечаток — например, неправильный регистр, — пишут исследователи. — Мы демонстрируем, что автоматическое исправление некоторых из них может сократить количество попыток ввода пароля для большой группы пользователей и повысить успешность процесса на дополнительные 3%».
Facebook уже использует подобную схему, исправляя регистр в пароле. Именно это и вдохновило ученых заняться более глубокой проработкой проблемы.
«В тот момент мы все считали, что это плохо с точки зрения безопасности, — говорит Ристенпарт. — Но если использовать автокоррекцию только для ограниченного числа типичных опечаток, это не окажет никакого негативного воздействия на уровень безопасности».
Эксперимент осуществлялся на инфраструктуре Dropbox (без фиксации паролей или изменения политики аутентификации); ученые в течение 24 часов фиксировали наиболее частые опечатки, а затем проводили тот же самый «забег», но исправляя опечатки. В результате процесс входа в аккаунт заметно улучшился — за счет коррекции всего лишь трех типов опечаток.
Затем исследователи разработали два редактора паролей: терпимый к опечаткам и «нестрогий».
«Нестрогий редактор основан на существующей системе точных совпадений (например, сопоставляет «посоленные» bcrypt-хеши). Система превращается в «нестрогую», так как при сопоставлении допускает небольшое количество незначительных исправлений введенного пароля, — пишут исследователи. — Это позволяет создавать системы аутентификации, терпимые к опечаткам, но при компрометации сервера проверка на соответствие остается «жесткой» (хранимые значения соответствий остаются неизменными). Мы уделяем основное внимание анализу попыток подбора пароля онлайн и увеличиваем вероятность совпадения за счет ограниченного количества допущений».
Ристенпарт отметил, что при брутфорс-атаках хакеры могут использовать особенности метода и добиться успеха, если пароль изначально слабый и легко подбирается.
«Вероятность опечаток в изначально [слабых] паролях очень низкая», — сказал ученый.
По словам Ристенпарта, предложенная система требует доработок — например, добавления автокоррекции при перестановке букв (что часто случается при использовании длинных сложных паролей). «Мы хотим применить подход к другим типам опечаток и разработать соответственный механизм автокоррекции», — добавил он.
Источник: Threatpost | Новости ИБ
