Результаты исследования, проводимого экспертами по безопасности в Великобритании и Китае, показывают, впервые, что подавляющее количество паролей для счетов онлайн – используемый для чего-либо от банковского дела, социальных сетей, и делающий покупки – уязвимо для целенаправленного предположения онлайн.Предназначенное предположение онлайн состоит в том, когда преступники предполагают определенный victim’ s пароль для счета. Они делают это, эксплуатируя знание их victim’ s личная информация – такая как пароль цель использует от другого обслуживания, а также личной идентифицируемой информации, как их имя и день рождения.
Многие люди склонны снова использовать пароли через многократные сетевые услуги и также использовать личную информацию в их паролях. Последние годы видели большое количество утечек данных от компаний, помещая более личную информацию в руки преступников. Эти нарушения означают, что подобные пароли, используемые на других услугах, становятся особенно уязвимыми для целенаправленного предположения.Чтобы проверить уязвимость паролей онлайн к целенаправленному предположению, исследователи из Университета Ланкастера, Пекинского университета и Фуцзяни Нормальный Университет, создали различные структуры предположения, которые располагают по приоритетам заказ предположения на основе нападавших, имеющих доступ к различным типам личной информации – или многократные сведения.
Эти модели приоритизации были проверены против десяти больших реальных наборов данных от китайских и английских интернет-пользователей.Когда проверено, researchers’ модели нападения – особенно те, которые извлекли выгоду из многократных частей личной информации, включая пароль от другого обслуживания – смогли успешно предположить пароли счетов больше чем на 73 процента нормальных пользователей и приблизительно одну треть опытных безопасностью пользователей с пределом 100 предположений.
В США NIST (Национальный институт стандартов и технологий) рекомендации для интернет-сервисов требуют, чтобы попытки пароля были ограничены 100 в 30-дневный период.Работа, которая впервые систематически оценивает, как нападавшие могут получить преимущества, эксплуатируя личную информацию включая пропущенные пароли, особенности в газете ‘ Предназначенное Предположение Пароля Онлайн: Недооцениваемый Threat’ который был представлен доктором Джеффом Яном, соавтором бумаги и Старшим лектором в Университете Ланкастера, в CCS’ 16 Конференций в Вене.“ Наши результаты предполагают, что в настоящее время используемые механизмы безопасности были бы в основном неэффективны против целенаправленной угрозы предположения онлайн, и эта угроза уже стала намного более разрушительной, чем ожидалось, ” сказал доктор Ян.
“ Эта работа показывает, впервые, что целенаправленное предположение пароля – очень недооцениваемая угроза, и мы продемонстрировали, что большое количество паролей может быть предположено, если личная информация известна нападавшему – особенно, если они знают пароли с других счетов, принадлежавших потенциальной жертве ” сказал г-н Динг Ван, ведущий студенческий автор, который совместно управлялся профессором Пин Ваном в Пекинском университете и доктором Яном в Ланкастере на бумаге.“ Мы находим, что предназначенный онлайн предполагающие угрозы все больше наносят ущерб и реалистичны.
Это – серьезная проблема безопасности, поскольку есть большие суммы личных данных и пропустили пароли, легко доступные преступникам из-за большого количества утечек данных размера миллиона как Yahoo, MySpace, Linkedin, Dropbox и VK.com, ” сказал профессор Ван, соответствующий автор статьи.“ Наши результаты должны поощрить людей изменять пароли, которые они используют на различных веб-сайтах намного более существенно, чтобы сделать его тяжелее для преступников, чтобы предположить их пароли. Эта работа должна также помочь сообщить поставщикам интернет-услуг, надеющимся вводить меры по более высокой безопасности, чтобы обнаружить и сопротивляться онлайн предположению, ” доктор Ян добавил.Хотя результаты этой работы подразумевают, что веб-сайт должен позволить гораздо меньшему количеству предположений, чем 100 для счета быть безопасным, исследователи подчеркивают, что это должно быть уравновешено относительно потребности в пользователях иметь выбор попробовать многократные попытки получить доступ к их счетам.
Кроме того, маленькое ограничение на попытки пароля для счета может предоставить нападавшим другой злонамеренный выбор – чтобы запереться отобранный (или много из) счета с многократными неудавшимися предположениями пароля. Это – так называемое нападение отказа в обслуживании. Поскольку номер 100 уже довольно маленький, устанавливая хорошее равновесие между предположением нападения, и нападение отказа в обслуживании обрисовывает в общих чертах потребность в затронутых безопасностью веб-сайтах, чтобы развернуть меры по более высокой безопасности. Многообещающий подход должен использовать другие неявные пользовательские идентификационные сигналы помимо пароля, включая IP-адрес пользователя, геолокацию, отпечатки пальцев устройства и пользовательское поведение как время динамики нажатия клавиши и логина.
“ было отрадно видеть, что в быстром ответе на наши результаты NIST пересмотрели часть SP 800-63-3 Цифровых Директивы по Идентификации и пригласили наши дальнейшие комментарии к другим связанным стандартам, ” сказал доктор Ян.Бумага доступна, посещая http://dl.acm.org/citation.cfm?id=2978339&CFID=685234644&CFTOKEN=66042247
Бумажные авторы – Динг Ван, Цзыцзянь Чжан и Пин Ван, Пекинский университет; Джефф Ян Ланкастерского University’ s Школа Вычисления и Коммуникаций; и Хиньи Хуан, Школы Математики и Информатики, Фуцзяни Нормальный Univeristy.Конференция ACM Коммуникации и безопасности Систем (CCS) является ведущей международной конференцией по вопросам кибербезопасности.