Password: qualsiasi statistica sul comportamento degli utenti?

Le grandi perdite di password web (in particolare RockYou, dove la perdita era di password in chiaro, quindi anche le password più forti sono visibili) sono state analizzate più volte. Vedi per es. Imperva e Troy Hunt - o semplicemente prendi possesso di alcuni elenchi di password e fai la tua analisi per calcolare entropia ecc.

Troy e un gruppo da Cambridge hanno trovato una password significativa riutilizzo su siti di circa il 70%.

Un interessante CISCO, RedJack e Florida State paper fornisce alcune statistiche sul mix di charset / entropia delle password trapelate - le password più lunghe tendono ad avere anche un mix di charset più ampio - e l'effetto delle politiche sulle password come "deve contenere una cifra" sulla forza della password. Questa analisi mostra che la maggior parte degli utenti (> 70%) con una politica "deve contenere una cifra" userà un semplice pre / suffisso numerico, con molti dei rimanenti che utilizzano sostituzioni l33t-speak (nessuno dei quali fornisce molta protezione da JtR strumenti di tipo); simimlarmente, il 30% delle password contenenti un "carattere speciale" ne ha solo uno alla fine. Il documento mostra anche che il "modello di entropia" del NIST è uno scarso indicatore di crackabilità della password in natura, perché non tiene conto dell'uso di parole comuni come base per la maggior parte delle password.

Tale documento fa riferimento a altro , che mostra ciò che tutti sappiamo - che le politiche di scadenza della password risultano negli utenti che fanno piccole modifiche incrementali per generare una nuova password ogni scadenza - e che questa conoscenza potrebbe essere utilizzata dagli aggressori per infrangere le "nuove" password date una precedente molto più velocemente di quanto gli attacchi di forza bruta o dizionario permetterebbero. Quel documento suggerisce provvisoriamente le password non scadenti con requisiti di lunghezza / complessità molto più rigidi (ad esempio una passphrase in stile dicewords).

In la loro presentazione OWASP 2011 ha mostrato KoreLogic una diapositiva con la "proporzione incrinata" per varie perdite di password (hash / crittografate), il che suggerisce che meno del 10% e probabilmente il 2% degli utenti hanno password sufficientemente complesse e abbastanza lunghe da resistere a una combinazione di dizionario , arcobaleno e attacchi a forza bruta. Possiamo anche dedurre che gli attacchi a forza bruta sono notevolmente peggiori degli attacchi arcobaleno: i due esempi su quella diapositiva che include il sale hanno proporzioni significativamente inferiori rispetto ai casi di MD5 / senza sale.

Ri: Le persone usano password più sicure per i loro conti bancari, ecc.

L'analisi di KoreLogic indica che le password "aziendali" sono piuttosto complesse delle "password web" tipiche. Questa differenza sembra essere dovuta alle tipiche politiche delle password aziendali (ad esempio, che richiedono una lunghezza minima e un utilizzo di charset) che rendono la password tipica più "complessa", ma porta anche a schemi di derivazione delle password comunemente ripetuti. Non penso che possiamo supporre che le password su siti bancari / finanziari saranno più complesse in assenza di un'applicazione delle policy in stile aziendale.

La voce "cancellata" sullo screenshot di Hash EXchange nella presentazione di KoreLogic si riferisce presumibilmente al "sito finanziario senza nome". Potrebbe non essere una banca, ma la proporzione del 70% di crack ci dà un'indicazione che, mentre gli utenti potrebbero utilizzare password un po 'più potenti (rispetto a gawker, ecc.), Una grande maggioranza usa ancora password deboli.

Questo post del blog di Troy Hunt offre un'analisi interessante basata sui dati da Sony, Gawker e altre violazioni.

Uno dei siti che sembra utile è PasswordResearch.com - hanno un'analisi suddivisa in:

• Pratiche password utente
• Criteri, pratiche o procedure di autenticazione
• Norme o pratiche relative alla durata della password
• Criteri o pratiche della lunghezza della password
• Norme o prassi di utilizzo dei caratteri della password
• Incidenti criminali relativi all'autenticazione
• Opinioni sull'autenticazione
• Uso del mercato delle tecnologie di autenticazione
• Costi associati all'autenticazione
• Impatti aziendali dell'autenticazione

Ecco altre statistiche sull'utilizzo della password e il riutilizzo della password:

• Troppe persone riutilizzano gli accessi, i risultati degli studi (PCWorld, febbraio 2010) segnala che Il 73% degli utenti riutilizza la propria password di banking online su almeno un altro sito web. Il 50% riutilizza il proprio nome utente e password di banking online su almeno un altro sito.

• Sophos (marzo 2009) segnala che il 33% degli utenti ammette di usando la stessa password per ogni sito web che usano. Il 48% afferma di utilizzare password diverse.

• Uno studio su larga scala delle abitudini di password Web (Florencio e Herley, maggio 2007) studia mezzo milione di utenti e misura l'utilizzo della password, come il numero di password e account che hanno, quanto spesso condividono le password tra i siti e quanto sono forti le loro password. Ad esempio, riportano che l'utente tipico ha una media di 6,5 password e ogni password è condivisa (in media) su 3,9 siti diversi. Sostengono che la forza media di una password utente (in bit) è di 40 bit. Stimano che almeno l'1,5% degli utenti di Yahoo dimentichi le proprie password ogni mese.

Tipo di ritardo verso la festa, ma l'intricato web di riutilizzo della password (2014) di Anupam Das, Joseph Bonneau, Matthew Caesar, Nikita Borisov e Xiao Feng Wang hanno uno sguardo approfondito sul riutilizzo delle password.

Studiano undici siti Web con diverse centinaia di migliaia di password trapelate. La stima che fanno è circa il 50% del riutilizzo tra più siti.