Утечка паролей

Утечка паролей от утечек данных может представлять серьезную угрозу, если пользователи повторно используют или слегка изменяют пароли для других служб. В связи с тем, что сегодня нарушается работа большего количества сервисов, все еще отсутствует количественное понимание этого риска. В этой статье мы проводим первый крупномасштабный эмпирический анализ моделей повторного использования и модификации паролей, используя базовый набор данных, состоящий из 28,8 миллионов пользователей и их 61,5 миллиона паролей в 107 сервисах за 8 лет. Мы обнаружили, что повторное использование и модификация паролей является очень распространенным явлением (наблюдается у 52% пользователей). Чувствительные онлайн-сервисы, такие как торговые сайты и службы электронной почты, получили наибольшее количество повторно использованных и измененных паролей. Мы также наблюдаем, что пользователи продолжали использовать уже утерянные пароли для других онлайн-сервисов в течение многих лет после нарушения первоначальных данных. Наконец, для количественной оценки рисков безопасности мы разрабатываем новый алгоритм угадывания, основанный на обучении. Мы показываем, что более 16 миллионов пар паролей (включая 30% измененных паролей) могут быть взломаны всего за 10 угадок.

Сегодняшние утечки данных (например, Equifax, Yahoo, Myspace, Office of Per-sonnel Management, Ashley Madison) достигают беспрецедентных масштабов и охвата. Только в 2016 году было зафиксировано более 2000 подтвержденных нарушений, которые привели к утечке миллиардов записей о пользователях [37]. Многие из утечек содержат конфиденциальную информацию, такую как пароли пользователей, которые часто становятся общедоступными в сети Интернет злоумышленниками [25, 26, 29, 31, 42].

Утечка паролей может представлять серьезную угрозу для пользователей, особенно если пароли повторно используются где-то еще пользователями. Повторное использование тех же или даже слегка измененных паролей позволяет злоумышленникам еще больше скомпрометировать учетные записи пользователей в других не взломанных сервисах [23, 28]. Еще хуже, если целевой пользователь оказался администратором другого сервиса, повторное использование паролей может привести к новым массовым утечкам данных (например, Dropbox [4]).

В связи с утечкой все большего количества паролей [8, 38]. настоятельную необходимость систематически оценивать повторное использование паролей пользователей и модели изменения и количественная оценка рисков для безопасности. Это не только для защиты учетных записей пользователей после утечки данных, но может также помочь в разработке более эффективных инструментов для управления пользователями". пароли. Из-за отсутствия крупномасштабных эмпирических данных большинство существующих работы полагаются на опросы или интервью для изучения повторного использования пароля [7, 14, 30, 32, 34, 40]. Проблема в том, что исследования пользователей часто ограничены по масштабу (например, несколько сотен пользователей), а также по результатам, которые пользователи сообщали сами. могут противоречить их реальному поведению на практике [40]. В последнее время исследователи начинают анализировать эмпирические данные, чтобы понять. шаблоны повторного использования и модификации паролей пользователей [5, 6, 24, 40, 43]. Однако масштабы существующих эмпирических исследований все еще весьма ограничены. Самое крупное на сегодняшний день исследование, посвященное как повторному использованию пароля, так и его повторному использованию. и модификация охватывает только 6 077 пользователей [5]. Ограниченный круг набор данных (размер выборки, тип услуги, демографические данные пользователя) составляет трудно рассмотреть обобщаемость наблюдений. и количественно оценить реальные риски для безопасности. В настоящем документе мы стремимся заполнить пробелы путем сбора и анализа большая коллекция утечек