30 лет провалов логин/пароля
Известно, что люди с трудом соотносят пароли с определенными аккаунтами и пытаются компенсировать это наихудшими способами. Новое исследование ИТ-пользователей крупной организации показывает, что ничего не меняется, и даже искушенные пользователи ведут…
Известно, что люди с трудом соотносят пароли с определенными аккаунтами и пытаются компенсировать это наихудшими способами. Новое исследование ИТ-пользователей крупной организации показывает, что ничего не меняется, и даже искушенные пользователи ведут себя так же, как середнячки,- пишет Джон Тиммер (John Timmer) .
Огромные усилия, привлекаемые в надежность компьютерного обеспечения, сосредотачиваются на технических решениях, от предупреждения о фишинговых атаках до блокирования воспроизведения ботов. Но как показало предыдущее исследование «Липовые поп-апы подтверждают, что большинство пользователей — идиоты«, безопасность завязана на человеческий фактор. Это наиболее верно для предмета, являющегося сердцевиной безопасности: слабого пароля. Итак, лучшие рекомендации — что-нибудь, чего нет в словаре, не записанный на листочке, новый для каждого аккаунта и т.д. — не учитывается базовым исследованием, которое показывает, что люди имеют ограниченные способности подбирать ассоциацию для случайного текста. Новое исследование пользователей, работающих в области ИТ, бросает беглый взгляд на то, насколько плоха ситуация с паролями: рекомендациям следуют менее 5% пользователей.
Возможно, самая шокирующая часть в новом исследовании, которое было опубликовано в Proceedings of the Human Factors and Ergonomics Society, это заключение, в котором говорится, как давно была поднята проблема паролей. Она ссылается на изучение Unix-паролей в 1979 году, которое показало, что 30% паролей состояли из 4 и менее символов, а около 15% были словами, которые можно найти в словаре. Перепрыгнем в 2006-й, когда исследование 34 тысяч паролей в MySpace обнаружило, что самые распространенные пароли — это «password1″, «abc123″, «myspace1″ и «password».
Но это непросто умозрительное свидетельство, которое подтверждает, что пароли легко взломать. Наука о нервной системе человека заявляет, что мозг человека просто не способен создавать бессмысленные тексты со свободными ассоциациями. Как говорится в документе, «кризис при использовании множества паролей может рассматриваться как проблема поиска и извлечения, связанная с долговременной памятью человека». И хотя наша долговременная память на изображения и слова, которые имеют для нас значение, достаточно хороша, она не срабатывает с паролями, которые (в идеале) должны выглядеть, как случайный набор символов. Другое испытание — вспомнить, какой пароль от какого аккаунта.
Таким образом, существует явное расхождение между знанием, как должно быть, и тем, что происходит на самом деле. Авторы нового исследования присоединили к нескольким фокус-группам сетевых администраторов, чтобы определить источники проблем пользователей. Они использовали эту информацию, чтобы исследовать привычки, связанные с паролями, 836 сотрудников организации, которая владела важными личными данными и проводила для своих работников тренинги по компьютерной безопасности. Очевидно, исследование более разнообразной выборки было бы интереснее, но по отдельности сотрудники по крайней мере позволяли определить степень соответствия тренингов по безопасности.
Авторы концентрировались на том, как много отклонений от идеального пароля, таких, как короткий пароль, некомбинирование знаков и символов, записывание пароля или использования пароля где-либо еще, совершал данный пользователь, Только 4,4% не отклонились от инструкций, а большинство нарушило три или более правила. «В действительности, — замечают авторы. — результаты, возможно, даже хуже, потому что респонденты не любят признаваться, что не соблюдают правила».
Опыт показывает, что эксперты и продвинутые пользователи превосходят новичков. Но есть предел: сеые администраторы, например, не так уж сильно отличаются от среднего пользователя. Также был замечен один, возможно, тревожный момент: около 7% респондентов отнеслись к вопросу компьтерной безопасности цинично, решив, что соблюдение инструкций не защитит их от хакеров. К счастью, эта группа так же хорошо (или так же плохо) использует инструкции, как и остальные.
По множеству причин, результатам не следует удивляться. Из того, что мы знаем о человеческой памяти, ясно, что если вы ставите невозможную задачу, ее не выполнят. Факт, что организация, работающая с важными данными, обучает своих сотрудников защищать их, не меняет ситуацию. Если исследование может чем-то помочь, так это тем, что покончит с ожиданием невозможного. Авторы предлагают множество альтернативных систем идентификации, от биометрических и сертификации, опирающейся на «железо», до систем, которые используют те области памяти, которыми человек оперирует с большей легкостью, например, образную. Однако, до тех пор пока ИТ-администраторы не преодолеют старые привычки, доступность альтернатив будет иметь ограниченной.