Благодаря доступной в интернете персональной информации пользователей целенаправленный подбор пароля становится все более простой в осуществлении атакой.
Главным «слабым звеном» здесь является человеческий фактор – для разных сервисов зачастую используется один и тот же пароль, а учетные данные придумываются на основании даты рождения и другой личной информации.
Группа исследователей Пекинского, Фуцзяньского и Ланкастерского университетов представила систему для целенаправленного подбора пароля, выявившую, что значительная доля паролей уязвима к брутфорсу. С помощью фреймворка TarGuess ученым удалось определить пароли среднестатистических пользователей с точностью до 73%, используя всего 100 попыток. Точность подбора учетных данных технически подкованных пользователей составила 32%.
Исследователи использовали доступные online базы паролей – пять БД англоязычных сайтов (в том числе Yahoo!) и пять китайских. Как сообщили эксперты, от 0,79% до 10,44% придуманных пользователями паролей можно взломать с помощью списка из десяти самых популярных паролей, куда входят злополучные «12345» и «password».
Незначительная доля пользователей составляет пароли, основываясь на личных данных. От 0,75% до 1,87% используют в качестве паролей свои полные имена. В Китае, где в качестве паролей чаще всего применяются цифры, а не буквы, 1-5% пользователей авторизуются с помощью своей даты рождения. Кроме того, в некоторых случаях роль пароля играют логины и электронные адреса.
В общей сложности исследователи разработали четыре алгоритма TarGuess. Наибольшую эффективность алгоритмы продемонстрировали при использовании с «сестринскими» паролями (паролями, используемыми одновременно для нескольких сервисов).
