Частичный банковский пароль легко разгадывается

"Дайте мне букву, две, три или шесть из вашего пароля" является частым вопросом для британцев, которые знакомы с онлайн сервисом банков, поскольку большинство британских банков используют этот вид частичной проверки подлинности пароля. Идея состоит в том, чтобы предотвратить захват всего пароля, если за клиентом следят. Эта схема теоретически предлагает более высокий уровень защиты, - но теперь кажется, что она может и перестать работать.

Дэвид Эспиналл из Университета Эдинбурга и Майк Джаст из Университета Глазго в Каледонии, Великобритания, использовали реальные пароли из их утечки в 2009 году, чтобы увидеть, как легко будет догадаться, каким может быть частичный пароль. Важно отметить, что некоторые пароли чаще встречаются, чем другие, и некоторые буквы возникают в определенных позициях более регулярно, чем остальные.

Например, "а" был вторым символом в восьми буквах ушедших их базы данных паролей почти 20 процентов времени проверки, в то время как "password" была наиболее часто используемым паролем. Сложив эти данные вместе, если кто-то заметит, что будут введены "s", "w" и "r" в качестве четвертой, пятой и седьмой букв пароля соответственно, то можно будет получить очень хорошее предположение о том, какими окажутся остальные буквы.

Оба учёных обнаружили, что они могли бы разгадать 10-символьный пароль в более чем 80 процентах случаев, когда можно было подсмотреть всего четыре частичные попытки ввода пароля. Злоумышленник может легко получить эту информацию, установив программу кейлоггер на вашем компьютере или даже просто подсмотрев через плечо.

Эспиналл и Джаст опросили крупнейшие британские банки, а также банки в других странах, которые используют частичные пароли, и обнаружили, что некоторые из них слишком многие возлагали надежды на технику, используя её в сочетании с другими простыми при взломе вещами, такими как кредитные карты, даты рождения и короткий PIN-коды, или даже ничего вообще больше не используя.

"Мы предполагаем, что банки, используя нечто вроде короткого PIN-кода, как первый уровень проверки подлинности надеются на дополнительный уровень защиты от взлома частичного пароля. Я бы выразил небольшое беспокойство по этому поводу", говорит Джаст, который вместе с Эспиналлом предоставят свои исследования в области финансовой криптографии и безопасности данных на конференции в Окинаве, Япония, в апреле этого года.