Пароль - Password
А пароль, иногда называемый пароль,[1] - это запомненный секрет, обычно строка символов, обычно используемая для подтверждения личности пользователя.[2] Используя терминологию Руководства по цифровой идентификации NIST,[3] секрет запоминается партией, называемой истец в то время как сторона, проверяющая личность истца, называется верификатор. Когда заявитель успешно демонстрирует проверяющему знание пароля через установленный протокол аутентификации,[4] верификатор может установить личность заявителя.
Как правило, пароль - это произвольный нить из символы включая буквы, цифры или другие символы. Если допустимые символы ограничены числовыми значениями, соответствующий секрет иногда называется персональный идентификационный номер (ШТЫРЬ).
Несмотря на название, пароль не обязательно должен быть словом; действительно, неслово (в словарном смысле) может быть труднее угадать, что является желательным свойством паролей. Запомненный секрет, состоящий из последовательности слов или другого текста, разделенных пробелами, иногда называется кодовая фраза. Парольная фраза похожа на пароль по использованию, но первая обычно длиннее для дополнительной безопасности.[5]
История
Пароли использовались с древних времен. Часовые бросали вызов желающим войти в зону, чтобы сообщить пароль или лозунг, и разрешил бы пройти только человеку или группе, если бы они знали пароль. Полибий описывает систему распределения лозунгов в Римские военные следующее:
Способ, которым они обеспечивают передачу лозунга на ночь, следующий: с десятого манипулировать из каждого класса пехоты и кавалерии, манипула, который стоит лагерем в нижнем конце улицы, выбирается человек, который освобождается от караульной службы, и он каждый день на закате посещает палатку трибуна, и получив от него лозунг - деревянную табличку с начерченным на ней словом - прощается, и по возвращении в свои апартаменты передает лозунг и табличку перед свидетелями командиру следующего манипула, который, в свою очередь, проходит это к следующему за ним. Все делают то же самое, пока не дойдут до первых манипулов, стоящих лагерем у палаток трибун. Последние обязаны доставить табличку на трибуны до наступления темноты. Так что, если все выданные будут возвращены, трибун будет знать, что девиз был дан всем манипулам и прошел через все на своем пути к нему. Если какой-либо из них отсутствует, он немедленно делает запрос, так как он знает по отметкам, из какой стороны табличка не вернулась, и тот, кто виноват в остановке, получает заслуженное наказание.[6]
Пароли, используемые в военных целях, стали включать не только пароль, но и пароль, и контрпароль; например в дни работы Битва за Нормандию, десантники 101-й воздушно-десантной дивизии США использовали пароль -вспышка- который был представлен как вызов, и на него был дан правильный ответ -гром. Пробу и ответ меняли каждые три дня. Американские десантники также широко использовали устройство, известное как «сверчок», на День Д вместо системы паролей в качестве временно уникального метода идентификации; один металлический щелчок, издаваемый устройством вместо пароля, должен был быть встречен двумя щелчками в ответ.[7]
Пароли использовались с компьютерами с самых первых дней развития компьютеров. В Совместимая система разделения времени (CTSS), операционная система, представленная на Массачусетский технологический институт в 1961 году была первая компьютерная система, реализовавшая вход по паролю.[8][9] В CTSS была команда LOGIN, которая запрашивала пароль пользователя. «После ввода ПАРОЛЯ система по возможности отключает механизм печати, чтобы пользователь мог ввести свой пароль в конфиденциальном порядке».[10] В начале 1970-х гг. Роберт Моррис разработали систему хранения паролей для входа в систему в хешированной форме в рамках Unix Операционная система. Система была основана на смоделированной роторной крипто-машине Хагелина и впервые появилась в 6-м издании Unix в 1974 году. Более поздняя версия его алгоритма, известная как склеп (3), использовал 12-битный соль и вызвал измененную форму DES алгоритм в 25 раз, чтобы снизить риск предварительно вычисленных словарные атаки.[11]
В наше время, имена пользователей и пароли обычно используются людьми во время авторизоваться процесс, который контролирует доступ на защищенный компьютер операционные системы, мобильные телефоны, Кабельное ТВ декодеры, банкоматы (Банкоматы) и др. Типичный пользователь компьютера имеет пароли для многих целей: вход в учетные записи, получение электронное письмо, доступ к приложениям, базам данных, сетям, веб-сайтам и даже чтение утренней газеты в Интернете.
Выбор надежного и запоминающегося пароля
Чем проще пароль для запоминания владельцу, тем проще будет злоумышленник угадать.[12] Однако пароли, которые трудно запомнить, также могут снизить безопасность системы, потому что (а) пользователям может потребоваться записать или сохранить пароль в электронном виде, (б) пользователям потребуется частый сброс пароля и (в) пользователи с большей вероятностью будут повторно использовать один и тот же пароль для разных учетных записей. Точно так же, чем более строгие требования к паролю, такие как «иметь сочетание прописных и строчных букв и цифр» или «менять его ежемесячно», тем в большей степени пользователи будут нарушать работу системы.[13] Другие утверждают, что более длинные пароли обеспечивают большую безопасность (например, энтропия ), чем более короткие пароли с большим разнообразием символов.[14]
В Запоминаемость и безопасность паролей,[15] Джефф Ян и др. изучить влияние рекомендаций, данных пользователям о правильном выборе пароля. Они обнаружили, что пароли, основанные на обдумывании фразы и взятии первой буквы каждого слова, так же запоминаются, как и наивно выбранные пароли, и так же сложно взломать, как и случайно сгенерированные пароли.
Еще один хороший метод - объединение двух или более не связанных между собой слов и преобразование некоторых букв в специальные символы или числа.[16] но ни единого словарного слова - нет. Имея лично разработанный алгоритм для генерации непонятных паролей - еще один хороший метод.[нужна цитата ]
Однако просьба к пользователям запомнить пароль, состоящий из «смеси символов верхнего и нижнего регистра», аналогична просьбе запомнить последовательность битов: их трудно запомнить и лишь немного сложнее взломать (например, всего в 128 раз сложнее взломать 7-буквенные пароли, меньше, если пользователь просто использует одну из букв с большой буквы). Просьба к пользователям использовать «и буквы, и цифры» часто приводит к легко угадываемым заменам, таким как «E» → «3» и «I» → «1», заменам, которые хорошо известны злоумышленникам. Точно так же набор пароля на одну строку клавиатуры выше - распространенная уловка, известная злоумышленникам.[17]
В 2013 году Google выпустил список наиболее распространенных типов паролей, все из которых считаются небезопасными, потому что их слишком легко угадать (особенно после исследования человека в социальных сетях):[18]
- Имя домашнего животного, ребенка, члена семьи или другого значимого лица.
- Юбилейные даты и дни рождения
- Место рождения
- Название любимого праздника
- Что-то связанное с любимой спортивной командой
- Слово «пароль»
Факторы безопасности парольной системы
Безопасность системы, защищенной паролем, зависит от нескольких факторов. Вся система должна быть спроектирована таким образом, чтобы обеспечить надежную безопасность и защиту от компьютерные вирусы, Атаки посредника и тому подобное. Проблемы физической безопасности также вызывают беспокойство, поскольку плечевой серфинг для более сложных физических угроз, таких как видеокамеры и анализаторы клавиатуры. Пароли следует выбирать так, чтобы злоумышленнику было трудно их угадать, а злоумышленнику - обнаружить с помощью любой из доступных схем автоматической атаки. Видеть Надежность Пароля и компьютерная безопасность для дополнительной информации.
В настоящее время компьютерные системы обычно скрывают пароли при их вводе. Цель этой меры - предотвратить чтение пароля посторонними лицами; однако некоторые утверждают, что такая практика может привести к ошибкам и стрессу, побуждая пользователей выбирать слабые пароли. В качестве альтернативы пользователи должны иметь возможность отображать или скрывать пароли по мере их ввода.[19]
Положения по эффективному контролю доступа могут вынудить преступников принять крайние меры для получения пароля или биометрического токена.[20] Менее крайние меры включают вымогательство, криптоанализ резинового шланга, и атака по побочному каналу.
Ниже приведены некоторые конкретные вопросы управления паролями, которые необходимо учитывать при обдумывании, выборе и обращении с паролем.
Скорость, с которой злоумышленник может попробовать угаданные пароли
Скорость, с которой злоумышленник может отправить системе угаданные пароли, является ключевым фактором при определении безопасности системы. Некоторые системы устанавливают тайм-аут в несколько секунд после небольшого количества (например, трех) неудачных попыток ввода пароля. При отсутствии других уязвимостей такие системы могут быть эффективно защищены с помощью относительно простых паролей, если они правильно выбраны и их нелегко угадать.[21]
Многие системы хранят криптографический хеш пароля. Если злоумышленник получает доступ к файлу хешированных паролей, угадывание может быть выполнено в автономном режиме, быстро проверяя возможные пароли на соответствие хеш-значению истинного пароля. В примере с веб-сервером онлайн-злоумышленник может угадать только скорость ответа сервера, в то время как автономный злоумышленник (который получает доступ к файлу) может предположить со скоростью, ограниченной только включенным оборудованием. атака запущена.
Пароли, которые используются для генерации криптографических ключей (например, для шифрование диска или же Вай фай безопасность) также может подвергаться высокому риску угадывания. Списки общих паролей широко доступны и могут сделать атаки на пароли очень эффективными. (Видеть Взлом пароля.) Безопасность в таких ситуациях зависит от использования паролей или парольных фраз адекватной сложности, что делает такую атаку вычислительно невыполнимой для злоумышленника. Некоторые системы, такие как PGP и Wi-Fi WPA, примените к паролю хэш, требующий больших вычислений, чтобы замедлить такие атаки. Видеть растяжение ключа.
Ограничения на количество подбираемых паролей
Альтернативой ограничению скорости, с которой злоумышленник может угадывать пароль, является ограничение общего количества предположений, которые могут быть сделаны. Пароль можно отключить, потребовав его сброса, после небольшого числа последовательных неудачных попыток (скажем, 5); и от пользователя может потребоваться изменить пароль после большего кумулятивного количества неверных предположений (скажем, 30), чтобы злоумышленник не сделал произвольно большое количество неверных предположений, перемежая их между хорошими предположениями, сделанными законным владельцем пароля.[22] Напротив, злоумышленники могут использовать знание этого средства защиты для реализации отказ в обслуживании против пользователя, намеренно заблокировав доступ пользователя к собственному устройству; такой отказ в обслуживании может открыть для злоумышленника другие возможности манипулировать ситуацией в своих интересах с помощью социальной инженерии.
Форма сохраненных паролей
Некоторые компьютерные системы хранят пароли пользователей как простой текст, с которым сравниваются попытки входа пользователя в систему. Если злоумышленник получит доступ к такому внутреннему хранилищу паролей, все пароли - а значит, и все учетные записи пользователей - будут скомпрометированы. Если некоторые пользователи используют один и тот же пароль для учетных записей в разных системах, они также будут скомпрометированы.
Более безопасные системы хранят каждый пароль в криптографически защищенной форме, поэтому доступ к фактическому паролю по-прежнему будет затруднен для наблюдателя, который получает внутренний доступ к системе, в то время как проверка попыток доступа пользователя остается возможной. Наиболее безопасные не хранят пароли вообще, а хранят одностороннее происхождение, например многочлен, модуль, или продвинутый хэш-функция.[14]Роджер Нидхэм изобрел теперь распространенный подход, заключающийся в хранении только "хешированной" формы пароля в виде открытого текста.[23][24] Когда пользователь вводит пароль в такой системе, программа обработки паролей запускает криптографический хеш алгоритм, и если значение хэша, сгенерированное из записи пользователя, совпадает с хешем, хранящимся в базе данных паролей, пользователю разрешается доступ. Хеш-значение создается путем применения криптографическая хеш-функция в строку, состоящую из отправленного пароля и, во многих реализациях, другого значения, известного как соль. Соль не позволяет злоумышленникам легко создать список хеш-значений для общих паролей и предотвращает масштабирование усилий по взлому паролей среди всех пользователей.[25] MD5 и SHA1 часто используются криптографические хеш-функции, но они не рекомендуются для хеширования паролей, если они не используются как часть более крупной конструкции, такой как в PBKDF2.[26]
Сохраненные данные - иногда называемые «верификатором пароля» или «хэшем пароля» - часто хранятся в формате Modular Crypt или RFC 2307 хеш-формат, иногда в / etc / passwd файл или / etc / shadow файл.[27]
Основные методы хранения паролей - это простой текст, хеширование, хеширование и соление, а также обратимое шифрование.[28] Если злоумышленник получает доступ к файлу паролей, то если он хранится в виде простого текста, взломать его не нужно. Если он хеширован, но не засолен, то он уязвим для радужный стол атаки (которые более эффективны, чем взлом). Если он обратимо зашифрован, то, если злоумышленник получает ключ дешифрования вместе с файлом, взлом не требуется, а если ему не удается получить ключ, взлом невозможен. Таким образом, из распространенных форматов хранения паролей только после того, как пароли были обработаны и хешированы, взлом является необходимым и возможным.[28]
Если криптографическая хеш-функция хорошо спроектирована, с вычислительной точки зрения невозможно отменить функцию для восстановления простой текст пароль. Однако злоумышленник может использовать широко доступные инструменты, чтобы попытаться угадать пароли. Эти инструменты работают, хешируя возможные пароли и сравнивая результат каждого предположения с фактическими хэшами паролей. Если злоумышленник находит совпадение, он знает, что его предположение является фактическим паролем для связанного пользователя. Инструменты взлома паролей могут работать с использованием грубой силы (т. Е. Перебирая все возможные комбинации символов) или путем хеширования каждого слова из списка; большие списки возможных паролей на многих языках широко доступны в Интернете.[14] Существование взлом пароля tools позволяет злоумышленникам легко восстанавливать плохо подобранные пароли. В частности, злоумышленники могут быстро восстановить пароли, состоящие из коротких словарных слов, простых вариантов словарных слов или паролей, использующих легко угадываемые шаблоны.[29]Модифицированная версия DES алгоритм использовался в качестве основы для алгоритма хеширования паролей в начале Unix системы.[30] В склеп Алгоритм использовал 12-битное значение соли, так что хэш каждого пользователя был уникальным, и повторял алгоритм DES 25 раз, чтобы замедлить хеш-функцию, обе меры предназначены для предотвращения атак с автоматическим угадыванием.[30] Пароль пользователя использовался как ключ для шифрования фиксированного значения. Более свежие системы типа Unix или Unix (например, Linux или различные BSD систем) используют более безопасные алгоритмы хеширования паролей, такие как PBKDF2, bcrypt, и зашифровать которые имеют большие соли и регулируемую стоимость или количество итераций.[31]Плохо спроектированная хеш-функция может сделать атаки возможными, даже если выбран надежный пароль. Видеть LM хеш для широко распространенного и небезопасного примера.[32]
Способы проверки пароля по сети
Простая передача пароля
Пароли уязвимы для перехвата (т. Е. «Слежки») при передаче на аутентифицирующую машину или человека. Если пароль передается в виде электрических сигналов по незащищенной физической проводке между точкой доступа пользователя и центральной системой, управляющей базой данных паролей, он подлежит отслеживанию со стороны прослушивание телефонных разговоров методы. Если они передаются в виде пакетов данных через Интернет, любой, кто может смотреть пакеты содержащие информацию для входа в систему, могут отслеживать с очень низкой вероятностью обнаружения.
Иногда для рассылки паролей используется электронная почта, но обычно это небезопасный метод. Поскольку большинство писем отправляется как простой текст сообщение, содержащее пароль, легко читается во время передачи любым перехватчиком. Далее сообщение будет сохранено как простой текст как минимум на двух компьютерах: отправителя и получателя. Если он проходит через промежуточные системы во время своих путешествий, он, вероятно, также будет храниться там, по крайней мере, в течение некоторого времени, и может быть скопирован в резервный, тайник или файлы истории в любой из этих систем.
Использование шифрования на стороне клиента защитит только передачу с сервера системы обработки почты на клиентский компьютер. Предыдущие или последующие передачи электронной почты не будут защищены, и электронная почта, вероятно, будет храниться на нескольких компьютерах, особенно на исходном и получающем компьютерах, чаще всего в виде открытого текста.
Передача по зашифрованным каналам
Риск перехвата паролей, отправленных через Интернет, можно снизить, среди прочего, используя криптографический охрана. Наиболее широко используется Безопасность транспортного уровня (TLS, ранее назывался SSL ) функция, встроенная в самую последнюю версию Интернета браузеры. Большинство браузеров предупреждают пользователя о защищенном TLS / SSL обмене с сервером, отображая значок закрытого замка или какой-либо другой знак, когда TLS используется. Есть несколько других используемых техник; видеть криптография.
Методы запрос-ответ на основе хеша
К сожалению, существует конфликт между хранимыми хешированными паролями и хеш-паролями. проверка подлинности запрос-ответ; последнее требует, чтобы клиент доказал серверу, что он знает, что поделился секретом (т. е. пароль), и для этого сервер должен иметь возможность получить общий секрет из его сохраненной формы. Во многих системах (включая Unix -type), выполняя удаленную аутентификацию, общий секрет обычно становится хешированной формой и имеет серьезное ограничение, заключающееся в том, что пароли подвергаются атакам с предположением оффлайн. Кроме того, когда хеш используется в качестве общего секрета, злоумышленнику не нужен исходный пароль для удаленной аутентификации; им нужен только хеш.
Доказательства пароля с нулевым разглашением
Вместо того, чтобы передавать пароль или хеш-код пароля, соглашение о ключах с аутентификацией паролем системы могут выполнять подтверждение пароля с нулевым разглашением, что подтверждает знание пароля, не раскрывая его.
Двигаясь дальше, расширенные системы для соглашение о ключах с аутентификацией паролем (например., AMP, B-SPEKE, ПАК-З, СРП-6 ) избегайте конфликтов и ограничений методов на основе хешей. Расширенная система позволяет клиенту подтвердить знание пароля серверу, где серверу известен только (не совсем) хешированный пароль и где нехешированный пароль требуется для получения доступа.
Порядок смены паролей
Обычно система должна обеспечивать способ изменения пароля либо потому, что пользователь считает, что текущий пароль был (или мог быть) взломан, либо в качестве меры предосторожности. Если новый пароль передается в систему в незашифрованном виде, безопасность может быть потеряна (например, путем прослушивания телефонных разговоров) еще до того, как новый пароль может быть установлен в базе данных паролей, и если новый пароль будет передан взломанному сотруднику, мало что будет получено . Некоторые веб-сайты включают выбранный пользователем пароль в незашифрованное сообщение электронной почты с подтверждением, что явно повышает уязвимость.
Управление идентификацией системы все чаще используются для автоматизации замены утерянных паролей. Эта функция называется Самостоятельный сброс пароля. Личность пользователя проверяется путем задания вопросов и сравнения ответов с ранее сохраненными (то есть, когда учетная запись была открыта).
В некоторых вопросах для сброса пароля требуется личная информация, которую можно найти в социальных сетях, например девичья фамилия матери. В результате некоторые эксперты по безопасности рекомендуют либо придумывать собственные вопросы, либо давать ложные ответы.[33]
Долговечность пароля
«Устаревание пароля» - это функция некоторых операционных систем, которая заставляет пользователей часто менять пароли (например, ежеквартально, ежемесячно или даже чаще). Такая политика обычно провоцирует протесты пользователей в лучшем случае и враждебность в худшем. Часто увеличивается количество людей, которые записывают пароль и оставляют его там, где его можно легко найти, а также звонков в службу поддержки для сброса забытого пароля. Пользователи могут использовать более простые пароли или разрабатывать вариативные шаблоны на единую тему, чтобы их пароли были запоминающимися.[34] Из-за этих проблем ведутся споры относительно эффективности устаревания пароля.[35] Смена пароля в большинстве случаев не предотвратит злоупотребления, поскольку нарушение часто становится заметным сразу. Однако, если кто-то мог получить доступ к паролю с помощью некоторых средств, таких как совместное использование компьютера или взлом другого сайта, изменение пароля ограничивает окно для злоупотреблений.[36]
Количество пользователей на пароль
Назначение отдельных паролей каждому пользователю системы предпочтительнее, чем наличие одного пароля, совместно используемого законными пользователями системы, конечно, с точки зрения безопасности. Отчасти это связано с тем, что пользователи более охотно сообщают другому человеку (который может не иметь авторизации) общий пароль, чем пароль, предназначенный исключительно для их использования.[нужна цитата ] Единичные пароли также гораздо менее удобно менять, потому что об этом нужно сообщать многим людям одновременно, и они затрудняют закрытие доступа конкретного пользователя, как, например, при окончании обучения или увольнении. Отдельные учетные записи также часто используются для подотчетности, например, чтобы узнать, кто изменил часть данных.
Архитектура защиты паролем
Общие методы, используемые для повышения безопасности компьютерных систем, защищенных паролем, включают:
- Отсутствие отображения пароля на экране дисплея при его вводе или скрытие его при вводе с помощью звездочек (*) или маркеров (•).
- Разрешение паролей достаточной длины. (Немного наследие операционные системы, включая ранние версии[который? ] Unix и Windows, пароли ограничены до 8 символов,[37][38][39] снижение безопасности.)
- Требование от пользователей повторного ввода пароля после периода бездействия (политика полувыхода).
- Обеспечение политика паролей увеличить Надежность Пароля и безопасность.
- Назначение случайно выбранных паролей.
- Требуется минимальная длина пароля.[26]
- В некоторых системах в пароле требуются символы из различных классов символов - например, «должен содержать хотя бы одну заглавную и хотя бы одну строчную букву». Однако пароли со строчными буквами более безопасны для каждого нажатия клавиши, чем пароли со смешанными заглавными буквами.[40]
- Нанять черный список паролей заблокировать использование слабых, легко угадываемых паролей
- Предоставление альтернативы вводу с клавиатуры (например, голосовые пароли или биометрический идентификаторы).
- Требование более чем одной системы аутентификации, например двухфакторной аутентификации (что-то есть у пользователя и что-то ему известно)
- Использование зашифрованных туннелей или соглашение о ключах с аутентификацией паролем для предотвращения доступа к передаваемым паролям через сетевые атаки
- Ограничение количества допустимых сбоев в течение заданного периода времени (для предотвращения повторного подбора пароля). После достижения лимита дальнейшие попытки (включая попытки ввода правильного пароля) завершатся ошибкой до начала следующего периода времени. Однако это уязвимо для формы отказ в обслуживании.
- Введение задержки между попытками отправки пароля, чтобы замедлить программы автоматического подбора пароля.
Некоторые из более строгих мер по обеспечению соблюдения политики могут создавать риск отчуждения пользователей, что может привести к снижению безопасности.
Повторное использование пароля
Пользователи компьютеров часто используют один и тот же пароль на нескольких сайтах. Это представляет значительную угрозу безопасности, поскольку злоумышленник необходимо взломать только один сайт, чтобы получить доступ к другим сайтам, которые использует жертва. Эта проблема усугубляется повторным использованием имена пользователей, а также веб-сайтами, требующими входа в систему по электронной почте, поскольку это упрощает злоумышленнику отслеживание одного пользователя на нескольких сайтах. Повторного использования пароля можно избежать или свести к минимуму, используя мнемонические техники, записывать пароли на бумаге, или используя менеджер паролей.[41]
Исследователи из Редмонда Диней Флоренсио и Кормак Херли вместе с Полом К. ван Оршотом из Карлтонского университета в Канаде утверждали, что повторное использование пароля неизбежно и что пользователи должны повторно использовать пароли для веб-сайтов с низким уровнем безопасности (которые содержат мало личных данных и отсутствие финансовой информации, например), и вместо этого сосредотачивают свои усилия на запоминании длинных сложных паролей для нескольких важных учетных записей, таких как банковские счета.[42] Аналогичные аргументы были сделаны Forbes в том, чтобы не менять пароли так часто, как советуют многие «эксперты», из-за тех же ограничений в человеческой памяти.[34]
Записывать пароли на бумаге
Исторически сложилось так, что многие эксперты по безопасности просили людей запоминать свои пароли: «Никогда не записывайте пароль». В последнее время многие эксперты по безопасности, такие как Брюс Шнайер рекомендуют использовать пароли, которые слишком сложны для запоминания, записывать их на бумаге и хранить в бумажнике.[43][44][45][46][47][48][49]
Менеджер паролей программное обеспечение также может относительно безопасно хранить пароли в зашифрованном файле, запечатанном одним мастер-паролем.
После смерти
Согласно опросу Лондонский университет каждый десятый человек теперь оставляет свои пароли в своем завещании, чтобы передать эту важную информацию после смерти. Согласно опросу, треть людей согласны с тем, что их данные, защищенные паролем, достаточно важны, чтобы их можно было передать по своему желанию.[50]
Многофакторная аутентификация
В схемах многофакторной аутентификации пароли (как «факторы знания») сочетаются с одним или несколькими другими средствами аутентификации, чтобы сделать аутентификацию более безопасной и менее уязвимой для взломанных паролей. Например, простой двухфакторный вход в систему может отправлять текстовое сообщение, электронную почту, автоматический телефонный звонок или подобное предупреждение всякий раз, когда делается попытка входа в систему, возможно, с указанием кода, который необходимо ввести в дополнение к паролю.[51] К более сложным факторам относятся такие вещи, как аппаратные токены и биометрическая безопасность.
Правила паролей
Большинство организаций указывают политика паролей который устанавливает требования к составу и использованию паролей, обычно диктуя минимальную длину, требуемые категории (например, верхний и нижний регистр, числа и специальные символы), запрещенные элементы (например, использование собственного имени, даты рождения, адреса, номер телефона). Некоторые правительства имеют национальные системы аутентификации[52] которые определяют требования к аутентификации пользователей для государственных служб, включая требования к паролям.
Многие веб-сайты обеспечивают соблюдение стандартных правил, таких как минимальная и максимальная длина, но также часто включают правила композиции, такие как использование хотя бы одной заглавной буквы и хотя бы одного числа / символа. Эти последние, более конкретные правила во многом основывались на отчете 2003 г. Национальный институт стандартов и технологий (NIST), автором которого является Билл Берр.[53] Первоначально он предлагал использовать цифры, непонятные символы и заглавные буквы и регулярно обновлять. В 2017 году Wall Street Journal В статье Берр сообщил, что сожалеет об этих предложениях и совершил ошибку, когда рекомендовал их.[54]
Согласно переписанному в 2017 году отчету NIST, многие веб-сайты имеют правила, которые на самом деле оказывают противоположное влияние на безопасность их пользователей. Это включает в себя сложные правила композиции, а также принудительную смену пароля через определенные промежутки времени. Хотя эти правила давно получили широкое распространение, они также долгое время считались раздражающими и неэффективными как пользователями, так и экспертами по кибербезопасности.[55] NIST рекомендует людям использовать более длинные фразы в качестве паролей (и советует веб-сайтам увеличить максимальную длину пароля) вместо трудно запоминаемых паролей с «иллюзорной сложностью», таких как «pA55w + rd».[56] Пользователь, которому запрещено использовать пароль «пароль», может просто выбрать «Пароль1», если требуется, чтобы включить число и заглавную букву. В сочетании с принудительной периодической сменой пароля это может привести к созданию паролей, которые трудно запомнить, но легко взломать.[53]
Пол Грасси, один из авторов отчета NIST за 2017 год, уточнил: «Всем известно, что восклицательный знак - это 1, или I, или последний символ пароля. $ - это S или 5. Если мы используем их правильно. -известные уловки, мы не обманываем злоумышленников. Мы просто обманываем базу данных, в которой хранятся пароли, и заставляем думать, что пользователь сделал что-то хорошее ».[55]
Пиерис Цоккис и Элиана Ставру смогли определить некоторые стратегии построения неверных паролей в ходе своих исследований и разработки инструмента для генерации паролей. Они разработали восемь категорий стратегий создания паролей, основанных на открытых списках паролей, инструментах для взлома паролей и онлайн-отчетах, в которых приводятся наиболее часто используемые пароли. Эти категории включают информацию, связанную с пользователем, сочетания клавиш и шаблоны, стратегию размещения, текстовый редактор, замену, регистрацию заглавных букв, даты добавления и комбинацию предыдущих категорий.[57]
Взлом пароля
Попытка взломать пароли, используя столько возможностей, сколько позволяют время и деньги, - это атака грубой силой. Связанный метод, в большинстве случаев более эффективный, - это словарная атака. При атаке по словарю проверяются все слова в одном или нескольких словарях. Списки общих паролей также обычно проверяются.
Надежность Пароля представляет собой вероятность того, что пароль невозможно угадать или обнаружить, и зависит от используемого алгоритма атаки. Криптологи и компьютерные ученые часто называют силу или «твердость» энтропия.[14]
Легко обнаруживаемые пароли называются слабый или же уязвимый; считаются пароли, которые сложно или невозможно раскрыть сильный. Существует несколько программ для атаки на пароли (или даже аудита и восстановления системным персоналом), таких как L0phtCrack, Джон потрошитель, и Каин; некоторые из них используют уязвимости дизайна паролей (обнаруженные в системе Microsoft LANManager) для повышения эффективности. Эти программы иногда используются системными администраторами для обнаружения слабых паролей, предлагаемых пользователями.
Исследования производственных компьютерных систем неизменно показывают, что большая часть всех выбираемых пользователем паролей легко подбирается автоматически. Например, Колумбийский университет обнаружил, что 22% паролей пользователей можно восстановить без особых усилий.[58] В соответствии с Брюс Шнайер, изучая данные 2006 г. фишинг атака, 55% Мое пространство пароли можно было бы взломать за 8 часов с помощью имеющегося в продаже набора Password Recovery Toolkit, способного проверять 200 000 паролей в секунду в 2006 году.[59] Он также сообщил, что самым распространенным паролем был пароль1, что еще раз подтверждает общее отсутствие осознанной осторожности при выборе паролей среди пользователей. (Тем не менее он утверждал, основываясь на этих данных, что общее качество паролей с годами улучшилось - например, средняя длина составляла до восьми символов из менее семи в предыдущих опросах, и менее 4% составляли словарные слова.[60])
Инциденты
- 16 июля 1998 г. CERT сообщил об инциденте, когда злоумышленник нашел 186 126 зашифрованных паролей. На момент обнаружения злоумышленника уже было взломано 47 642 пароля.[61]
- В сентябре 2001 г., после гибели 960 сотрудников Нью-Йорка в г. 11 сентября нападения, компания финансовых услуг Кантор Фицджеральд через Microsoft взламывали пароли умерших сотрудников, чтобы получить доступ к файлам, необходимым для обслуживания учетных записей клиентов.[62] Технические специалисты использовали атаки методом перебора, а интервьюеры связывались с семьями, чтобы собрать персонализированную информацию, которая могла бы сократить время поиска более слабых паролей.[62]
- В декабре 2009 года произошло серьезное нарушение пароля Rockyou.com сайт произошел, что привело к выпуску 32 миллионов паролей. Затем хакер передал в Интернет полный список из 32 миллионов паролей (без какой-либо другой идентифицирующей информации). Пароли хранились в открытом виде в базе данных и извлекались с помощью уязвимости SQL-инъекции. В Imperva Центр защиты приложений (ADC) провел анализ надежности паролей.[63]
- В июне 2011 г. НАТО (Организация Североатлантического договора) столкнулась с нарушением безопасности, которое привело к публичному разглашению имен и фамилий, имен пользователей и паролей для более чем 11 000 зарегистрированных пользователей их электронных книжных магазинов. Данные были утечкой в рамках Операция AntiSec, движение, которое включает Анонимный, LulzSec, а также другие хакерские группы и отдельные лица. Цель AntiSec - раскрыть миру личную, конфиденциальную и ограниченную информацию с использованием любых необходимых средств.[64]
- 11 июля 2011 г. Буз Аллен Гамильтон, консалтинговая фирма, которая работает на Пентагон, их серверы были взломаны Анонимный и слил в тот же день. «Утечка, получившая название« Военный кризис в понедельник », включает 90 000 логинов военнослужащих, включая сотрудников из USCENTCOM, SOCOM, то Корпус морской пехоты, разные Воздушные силы удобства, Национальная безопасность, Государственный департамент staff, and what looks like private sector contractors."[65] These leaked passwords wound up being hashed in SHA1, and were later decrypted and analyzed by the ADC team at Imperva, revealing that even military personnel look for shortcuts and ways around the password requirements.[66]
Alternatives to passwords for authentication
The numerous ways in which permanent or semi-permanent passwords can be compromised has prompted the development of other techniques. Unfortunately, some are inadequate in practice, and in any case few have become universally available for users seeking a more secure alternative.[нужна цитата ] A 2012 paper[67] examines why passwords have proved so hard to supplant (despite numerous predictions that they would soon be a thing of the past[68]); in examining thirty representative proposed replacements with respect to security, usability and deployability they conclude "none even retains the full set of benefits that legacy passwords already provide."
- Single-use passwords. Having passwords which are only valid once makes many potential attacks ineffective. Most users find single use passwords extremely inconvenient. They have, however, been widely implemented in personal онлайн банкинг, где они известны как Transaction Authentication Numbers (TANs). As most home users only perform a small number of transactions each week, the single use issue has not led to intolerable customer dissatisfaction in this case.
- Time-synchronized one-time passwords are similar in some ways to single-use passwords, but the value to be entered is displayed on a small (generally pocketable) item and changes every minute or so.
- PassWindow one-time passwords are used as single-use passwords, but the dynamic characters to be entered are visible only when a user superimposes a unique printed visual key over a server generated challenge image shown on the user's screen.
- Access controls based on public key cryptography например ssh. The necessary keys are usually too large to memorize (but see proposal Passmaze)[69] and must be stored on a local computer, security token or portable memory device, such as a флешка или даже дискета. The private key may be stored on a cloud service provider, and activated by the use of a password or two factor authentication.
- Биометрический methods promise authentication based on unalterable personal characteristics, but currently (2008) have high error rates and require additional hardware to scan, for example, отпечатки пальцев, ирисы, etc. They have proven easy to spoof in some famous incidents testing commercially available systems, for example, the gummie fingerprint spoof demonstration,[70] and, because these characteristics are unalterable, they cannot be changed if compromised; this is a highly important consideration in access control as a compromised access token is necessarily insecure.
- Единая точка входа technology is claimed to eliminate the need for having multiple passwords. Such schemes do not relieve user and administrators from choosing reasonable single passwords, nor system designers or administrators from ensuring that private access control information passed among systems enabling single sign-on is secure against attack. As yet, no satisfactory standard has been developed.
- Envaulting technology is a password-free way to secure data on removable storage devices such as USB flash drives. Instead of user passwords, access control is based on the user's access to a network resource.
- Non-text-based passwords, such as graphical passwords or mouse-movement based passwords.[71] Graphical passwords are an alternative means of аутентификация for log-in intended to be used in place of conventional password; они используют изображений, графика или же цвета вместо буквы, цифры или же специальные символы. One system requires users to select a series of лица as a password, utilizing the человеческий мозг способность recall faces с легкостью.[72] In some implementations the user is required to pick from a series of images in the correct sequence in order to gain access.[73] Another graphical password solution creates a one-time password using a randomly generated grid of images. Each time the user is required to authenticate, they look for the images that fit their pre-chosen categories and enter the randomly generated alphanumeric character that appears in the image to form the one-time password.[74][75] So far, graphical passwords are promising, but are not widely used. Studies on this subject have been made to determine its usability in the real world. While some believe that graphical passwords would be harder to трескаться, others suggest that people will be just as likely to pick common images or sequences as they are to pick common passwords.[нужна цитата ]
- 2D Key (2-Dimensional Key)[76] is a 2D matrix-like key input method having the key styles of multiline passphrase, crossword, ASCII/Unicode art, with optional textual semantic noises, to create big password/key beyond 128 bits to realize the MePKC (Memorizable Public-Key Cryptography)[77] using fully memorizable private key upon the current private key management technologies like encrypted private key, split private key, and roaming private key.
- Cognitive passwords use question and answer cue/response pairs to verify identity.
"The Password is dead"
That "the password is dead" is a recurring idea in компьютерная безопасность. It often accompanies arguments that the replacement of passwords by a more secure means of authentication is both necessary and imminent. This claim has been made by numerous people at least since 2004. Notably, Билл Гейтс, speaking at the 2004 Конференция RSA predicted the demise of passwords saying "they just don't meet the challenge for anything you really want to secure."[68][78] В 2011, IBM predicted that, within five years, "You will never need a password again."[79] Matt Honan, a journalist at Проводной, who was the victim of a hacking incident, in 2012 wrote "The age of the password has come to an end."[80] Heather Adkins, manager of Information Security at Google, in 2013 said that "passwords are done at Google."[81] Eric Grosse, VP of security engineering at Google, states that "passwords and simple bearer tokens, such as cookies, are no longer sufficient to keep users safe."[82] Christopher Mims, writing in the Wall Street Journal said the password "is finally dying" and predicted their replacement by device-based authentication.[83]Avivah Litan of Gartner said in 2014 "Passwords were dead a few years ago. Now they are more than dead."[84]The reasons given often include reference to the удобство использования as well as security problems of passwords.
The claim that "the password is dead" is often used by advocates of alternatives to passwords, such as биометрия, двухфакторная аутентификация или же Единая точка входа. Many initiatives have been launched with the explicit goal of eliminating passwords. К ним относятся Microsoft с Cardspace, то Higgins project, то Liberty Alliance, NSTIC, то ФИДО Альянс and various Identity 2.0 proposals. Jeremy Grant, head of NSTIC initiative (the US Dept. of Commerce National Strategy for Trusted Identities in Cyberspace), declared "Passwords are a disaster from a security perspective, we want to shoot them dead."[85] The FIDO Alliance promises a "passwordless experience" in its 2015 specification document.[86]
In spite of these predictions and efforts to replace them passwords still appear as the dominant form of authentication on the web. In "The Persistence of Passwords," Cormac Herley and Paul van Oorschot suggest that every effort should be made to end the "spectacularly incorrect assumption" that passwords are dead.[87]They argue that "no other single technology matches their combination of cost, immediacy and convenience" and that "passwords are themselves the best fit for many of the scenarios in which they are currently used."
Following the work of Herley and van Oorschot, Bonneau et al. systematically compared web passwords to 35 competing authentication schemes in terms of their usability, deployability, and security.[88][89] (The technical report is an extended version of the peer-reviewed paper by the same name.) Their analysis shows that most schemes do better than passwords on security, some schemes do better and some worse with respect to usability, while каждый scheme does worse than passwords on deployability. The authors conclude with the following observation: “Marginal gains are often not sufficient to reach the activation energy necessary to overcome significant transition costs, which may provide the best explanation of why we are likely to live considerably longer before seeing the funeral procession for passwords arrive at the cemetery.”
Смотрите также
- Access code (disambiguation)
- Аутентификация
- CAPTCHA
- Наука о мышлении
- Diceware
- Kerberos (протокол)
- Keyfile
- Кодовая фраза
- Взлом пароля
- Password fatigue
- Параметр длины пароля
- Менеджер паролей
- Password notification e-mail
- Политика паролей
- Password psychology
- Надежность Пароля
- Password synchronization
- Password-authenticated key agreement
- Общий ключ
- Генератор случайных паролей
- Радужный стол
- Self-service password reset
- Usability of web authentication systems
Рекомендации
- ^ "passcode". YourDictionary. Получено 17 мая 2019.
- ^ "password". Computer Security Resource Center (NIST). Получено 17 мая 2019.
- ^ Grassi, Paul A.; Garcia, Michael E.; Fenton, James L. (June 2017). "NIST Special Publication 800-63-3: Digital Identity Guidelines". Национальный институт стандартов и технологий (NIST). Дои:10.6028/NIST.SP.800-63-3. Получено 17 мая 2019. Цитировать журнал требует
| журнал =
(помощь) - ^ "authentication protocol". Computer Security Resource Center (NIST). Получено 17 мая 2019.
- ^ "Passphrase". Computer Security Resource Center (NIST). Получено 17 мая 2019.
- ^ Polybius on the Roman Military В архиве 2007-02-07 в Wayback Machine. Ancienthistory.about.com (2012-04-13). Проверено 20 мая 2012.
- ^ Mark Bando (2007). 101st Airborne: The Screaming Eagles in World War II. Mbi Publishing Company. ISBN 978-0-7603-2984-9. В архиве из оригинала 2 июня 2013 г.. Получено 20 мая 2012.
- ^ McMillan, Robert (27 January 2012). «Первый в мире компьютерный пароль? Он тоже был бесполезен». Wired журнал. Получено 22 марта 2019.
- ^ Hunt, Troy (26 July 2017). "Passwords Evolved: Authentication Guidance for the Modern Era". Получено 22 марта 2019.
- ^ CTSS Programmers Guide, 2nd Ed., MIT Press, 1965
- ^ Morris, Robert; Томпсон, Кен (1978-04-03). "Password Security: A Case History". Bell Laboratories. CiteSeerX 10.1.1.128.1635.
- ^ Vance, Ashlee (2010-01-10). "If Your Password Is 123456, Just Make It HackMe". Нью-Йорк Таймс. В архиве from the original on 2017-02-11.
- ^ "Managing Network Security". Archived from the original on March 2, 2008. Получено 2009-03-31.CS1 maint: BOT: статус исходного URL-адреса неизвестен (связь). Fred Cohen and Associates. All.net. Проверено 20 мая 2012.
- ^ а б c d Lundin, Leigh (2013-08-11). "PINs and Passwords, Part 2". Пароли. Orlando: SleuthSayers.
- ^ The Memorability and Security of Passwords В архиве 2012-04-14 в Wayback Machine (pdf). ncl.ac.uk. Проверено 20 мая 2012.
- ^ Michael E. Whitman; Herbert J. Mattord (2014). Principles of Information Security. Cengage Learning. п. 162. ISBN 978-1-305-17673-7.
- ^ Lewis, Dave (2011). Ctrl-Alt-Delete. п. 17. ISBN 978-1471019111. Получено 10 июля 2015.
- ^ Techlicious / Fox Van Allen @techlicious (2013-08-08). "Google Reveals the 10 Worst Password Ideas | TIME.com". Techland.time.com. В архиве из оригинала от 22.10.2013. Получено 2013-10-16.
- ^ Lyquix Blog: Do We Need to Hide Passwords? В архиве 2012-04-25 в Wayback Machine. Lyquix.com. Проверено 20 мая 2012.
- ^ Джонатан Кент Malaysia car thieves steal finger В архиве 2010-11-20 на Wayback Machine. BBC (2005-03-31)
- ^ Stuart Brown "Top ten passwords used in the United Kingdom". Архивировано из оригинал 8 ноября 2006 г.. Получено 2007-08-14.. Modernlifeisrubbish.co.uk (2006-05-26). Проверено 20 мая 2012.
- ^ US patent 8046827
- ^ Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).
- ^ Schofield, Jack (10 March 2003). "Roger Needham". Хранитель.
- ^ The Bug Charmer: Passwords Matter В архиве 2013-11-02 в Wayback Machine. Bugcharmer.blogspot.com (2012-06-20). Retrieved on 2013-07-30.
- ^ а б Alexander, Steven. (2012-06-20) The Bug Charmer: How long should passwords be? В архиве 2012-09-20 на Wayback Machine. Bugcharmer.blogspot.com. Retrieved on 2013-07-30.
- ^ "passlib.hash - Password Hashing Schemes" В архиве 2013-07-21 в Wayback Machine.
- ^ а б Florencio et al., An Administrator's Guide to Internet Password Research В архиве 2015-02-14 в Wayback Machine. (pdf) Retrieved on 2015-03-14.
- ^ Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g В архиве 2012-08-30 в Wayback Machine. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.
- ^ а б Morris, Robert & Thompson, Ken (1979). «Защита паролем: история болезни». Коммуникации ACM. 22 (11): 594–597. CiteSeerX 10.1.1.135.2097. Дои:10.1145/359168.359172. S2CID 207656012. Архивировано из оригинал on 2003-03-22.
- ^ Password Protection for Modern Operating Systems В архиве 2016-03-11 в Wayback Machine (pdf). Usenix.org. Проверено 20 мая 2012.
- ^ How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases В архиве 2006-05-09 на Wayback Machine. support.microsoft.com (2007-12-03). Проверено 20 мая 2012.
- ^ "Why You Should Lie When Setting Up Password Security Questions". Techlicious. 2013-03-08. В архиве из оригинала от 23.10.2013. Получено 2013-10-16.
- ^ а б Joseph Steinberg (12 November 2014). "Forbes: Why You Should Ignore Everything You Have Been Told About Choosing Passwords". Forbes. В архиве из оригинала 12 ноября 2014 г.. Получено 12 ноября 2014.
- ^ "The problems with forcing regular password expiry". IA Matters. CESG: the Information Security Arm of GCHQ. 15 апреля 2016 г. Архивировано с оригинал on 17 August 2016. Получено 5 августа 2016.
- ^ Schneier on Security discussion on changing passwords В архиве 2010-12-30 на Wayback Machine. Schneier.com. Проверено 20 мая 2012.
- ^ Зельцер, Ларри. (2010-02-09) "American Express: Strong Credit, Weak Passwords" В архиве 2017-07-12 at the Wayback Machine. Pcmag.com. Проверено 20 мая 2012.
- ^ "Ten Windows Password Myths" В архиве 2016-01-28 в Wayback Machine: "NT dialog boxes ... limited passwords to a maximum of 14 characters"
- ^ "You must provide a password between 1 and 8 characters in length". Jira.codehaus.org. Проверено 20 мая 2012. В архиве 21 мая 2015 г. Wayback Machine
- ^ "To Capitalize or Not to Capitalize?" В архиве 2009-02-17 в Wayback Machine. World.std.com. Проверено 20 мая 2012.
- ^ Thomas, Keir (February 10, 2011). "Password Reuse Is All Too Common, Research Shows". Компьютерный мир. В архиве с оригинала 12 августа 2014 г.. Получено 10 августа, 2014.
- ^ Pauli, Darren (16 July 2014). "Microsoft: You NEED bad passwords and should re-use them a lot". Реестр. В архиве из оригинала 12 августа 2014 г.. Получено 10 августа 2014.
- ^ Bruce Schneier : Crypto-Gram Newsletter В архиве 2011-11-15 на Wayback Machine 15 мая 2001 г.
- ^ "Ten Windows Password Myths" В архиве 2016-01-28 в Wayback Machine: Myth #7. You Should Never Write Down Your Password
- ^ Kotadia, Munir (2005-05-23) Microsoft security guru: Jot down your passwords. News.cnet.com. Проверено 20 мая 2012.
- ^ "The Strong Password Dilemma" В архиве 2010-07-18 at the Wayback Machine by Richard E. Smith: "we can summarize classical password selection rules as follows:The password must be impossible to remember and never written down."
- ^ Bob Jenkins (2013-01-11). "Choosing Random Passwords". В архиве from the original on 2010-09-18.
- ^ "The Memorability and Security of Passwords – Some Empirical Results" В архиве 2011-02-19 в Wayback Machine (pdf)
- "your password ... in a secure place, such as the back of your wallet or purse."
- ^ "Should I write down my passphrase?" В архиве 2009-02-17 в Wayback Machine. World.std.com. Проверено 20 мая 2012.
- ^ Jaffery, Saman M. (17 October 2011). "Survey: 11% of Brits Include Internet Passwords in Will". Hull & Hull LLP. Архивировано из оригинал 25 декабря 2011 г.. Получено 16 июля 2012.
- ^ Двухфакторная аутентификация В архиве 2016-06-18 at the Wayback Machine
- ^ Improving Usability of Password Management with Standardized Password Policies В архиве 2013-06-20 на Wayback Machine (pdf). Retrieved on 2012-10-12.
- ^ а б Hate silly password rules? So does the guy who created them, ZDNet
- ^ The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d!, Wall Street Journal
- ^ а б Experts Say We Can Finally Ditch Those Stupid Password Rules, Удача
- ^ NIST’s new password rules – what you need to know, Голая безопасность
- ^ P. Tsokkis and E. Stavrou, "A password generator tool to increase users' awareness on bad password construction strategies," 2018 International Symposium on Networks, Computers and Communications (ISNCC), Rome, 2018, pp. 1-5, doi: 10.1109/ISNCC.2018.8531061.
- ^ "Пароль". Archived from the original on April 23, 2007. Получено 2012-05-20.CS1 maint: BOT: статус исходного URL-адреса неизвестен (связь). cs.columbia.edu
- ^ Schneier, Real-World Passwords В архиве 2008-09-23 на Wayback Machine. Schneier.com. Проверено 20 мая 2012.
- ^ MySpace Passwords Aren't So Dumb В архиве 2014-03-29 at the Wayback Machine. Wired.com (2006-10-27). Проверено 20 мая 2012.
- ^ "CERT IN-98.03". 1998-07-16. Получено 2009-09-09.
- ^ а б Урбина, Ян; Davis, Leslye (November 23, 2014). "The Secret Life of Passwords". Нью-Йорк Таймс. В архиве с оригинала 28 ноября 2014 г.
- ^ "Consumer Password Worst Practices (pdf)" (PDF). В архиве (PDF) из оригинала 28.07.2011.
- ^ "NATO site hacked". Реестр. 2011-06-24. В архиве из оригинала от 29 июня 2011 г.. Получено 24 июля, 2011.
- ^ "Anonymous Leaks 90,000 Military Email Accounts in Latest Antisec Attack". 2011-07-11. В архиве from the original on 2017-07-14.
- ^ "Military Password Analysis". 2011-07-12. В архиве из оригинала от 15.07.2011.
- ^ "The Quest to Replace Passwords (pdf)" (PDF). IEEE. 2012-05-15. В архиве (PDF) из оригинала от 19.03.2015. Получено 2015-03-11.
- ^ а б "Gates predicts death of the password". CNET. 2004-02-25. В архиве из оригинала от 02.04.2015. Получено 2015-03-14.
- ^ Cryptology ePrint Archive: Report 2005/434 В архиве 2006-06-14 на Wayback Machine. eprint.iacr.org. Проверено 20 мая 2012.
- ^ T Matsumoto. H Matsumotot; K Yamada & S Hoshino (2002). "Impact of artificial 'Gummy' Fingers on Fingerprint Systems". Proc SPIE. Optical Security and Counterfeit Deterrence Techniques IV. 4677: 275. Bibcode:2002SPIE.4677..275M. Дои:10.1117/12.462719. S2CID 16897825.
- ^ Using AJAX for Image Passwords – AJAX Security Part 1 of 3 В архиве 2006-06-16 на Wayback Machine. waelchatila.com (2005-09-18). Проверено 20 мая 2012.
- ^ Butler, Rick A. (2004-12-21) Лицо в толпе В архиве 2006-06-27 at the Wayback Machine. mcpmag.com. Проверено 20 мая 2012.
- ^ graphical password or graphical user authentication (GUA) В архиве 2009-02-21 в Wayback Machine. searchsecurity.techtarget.com. Проверено 20 мая 2012.
- ^ Ericka Chickowski (2010-11-03). "Images Could Change the Authentication Picture". Темное чтение. В архиве from the original on 2010-11-10.
- ^ "Confident Technologies Delivers Image-Based, Multifactor Authentication to Strengthen Passwords on Public-Facing Websites". 2010-10-28. В архиве from the original on 2010-11-07.
- ^ User Manual for 2-Dimensional Key (2D Key) Input Method and System В архиве 2011-07-18 на Wayback Machine. xpreeli.com. (2008-09-08) . Проверено 20 мая 2012.
- ^ Kok-Wah Lee "Methods and Systems to Create Big Memorizable Secrets and Their Applications" Patent US20110055585 В архиве 2015-04-13 в Wayback Machine, WO2010010430. Filing date: December 18, 2008
- ^ Kotadia, Munir (25 February 2004). "Gates predicts death of the password". ZDNet. Получено 8 мая 2019.
- ^ "IBM Reveals Five Innovations That Will Change Our Lives within Five Years". IBM. 2011-12-19. В архиве из оригинала от 17.03.2015. Получено 2015-03-14.
- ^ Honan, Mat (2012-05-15). "Kill the Password: Why a String of Characters Can't Protect Us Anymore". Проводной. В архиве из оригинала от 16.03.2015. Получено 2015-03-14.
- ^ "Google security exec: 'Passwords are dead'". CNET. 2004-02-25. В архиве из оригинала от 02.04.2015. Получено 2015-03-14.
- ^ "Authentciation at Scale". IEEE. 2013-01-25. В архиве из оригинала от 02.04.2015. Получено 2015-03-12.
- ^ Mims, Christopher (2014-07-14). "The Password Is Finally Dying. Here's Mine". Wall Street Journal. В архиве from the original on 2015-03-13. Получено 2015-03-14.
- ^ "Russian credential theft shows why the password is dead". Компьютерный мир. 2014-08-14. В архиве из оригинала от 02.04.2015. Получено 2015-03-14.
- ^ "NSTIC head Jeremy Grant wants to kill passwords". Fedscoop. 2014-09-14. В архиве from the original on 2015-03-18. Получено 2015-03-14.
- ^ "Specifications Overview". FIDO Alliance. 2014-02-25. В архиве из оригинала 15.03.2015. Получено 2015-03-15.
- ^ "A Research Agenda Acknowledging the Persistence of Passwords". IEEE Security&Privacy. Январь 2012 г. В архиве from the original on 2015-06-20. Получено 2015-06-20.
- ^ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes". Technical Report - University of Cambridge. Компьютерная лаборатория. Cambridge, UK: University of Cambridge Computer Laboratory. ISSN 1476-2986. Получено 22 марта 2019.
- ^ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes. 2012 IEEE Symposium on Security and Privacy. Сан-Франциско, Калифорния. pp. 553–567. Дои:10.1109/SP.2012.44.
внешняя ссылка
- Graphical Passwords: A Survey
- Large list of commonly used passwords
- Large collection of statistics about passwords
- Research Papers on Password-based Cryptography
- The international passwords conference
- Procedural Advice for Organisations and Administrators (PDF)
- Centre for Security, Communications and Network Research, University of Plymouth (PDF)
- 2017 draft update to NIST password standards for the U.S. federal government
- Memorable and secure password generator