Qual è la probabilità che un utente scelga una password pubblicata?

2

Supponiamo di avere un elenco di grandi dimensioni (10 milioni) di account pubblicati e password associate.

Supponiamo che questo sia un campione rappresentativo della popolazione delle password degli account.

Da questo esempio posso generare una distribuzione delle password ordinate dal più usato al meno.

Ci sarà probabilmente una password che viene usata più di ogni altra e ci sarà anche un gran numero di password usate una volta (password univoche).

Il numero di password uniche è del 50%.

Posso quindi concludere che quando un utente inventa una password, esiste una probabilità del 50% di scegliere una password univoca universale?

In caso negativo, cosa posso concludere?

    
posta philcolbourn 18.09.2018 - 12:54
fonte

3 risposte

2

La risposta varierà selvaggiamente a seconda delle abitudini e della consapevolezza della sicurezza della persona in questione. Tuttavia, possiamo arrivare ad alcune conclusioni a seconda del "tipo" di persona. Almeno, possiamo farlo se semplifichiamo le persone in una delle due categorie:

Le persone che utilizzano i computer per generare password veramente casuali

ovvero persone con "buona" consapevolezza della sicurezza. Questo è facile. Nessuna di queste persone avrà password nella tua lista. Anche con una semplice stringa alfanumerica di 8 cifre (che non è più una password valida) ci sono ~ 2e14 combinazioni possibili di password, il che significa che le probabilità di trovare una di quelle password in una lista con 10 milioni di password sono solo 1 su 5 milioni. Meglio che vincere alla lotteria, ma ancora piuttosto male. Personalmente io uso 16 password casuali di carattere (che è probabilmente abbastanza comune), quindi guardiamo a ~ 5e28 possibili password e quindi piccole probabilità di selezionarne una nella tua lista (presumendo che la tua lista abbia anche 16 password di caratteri su esso).

Persone che scelgono le proprie password facili da ricordare

Come è generalmente noto, le persone tendono a riutilizzare molte password e molte persone usano password comuni. Tuttavia, può essere molto difficile calcolare effettivamente la frequenza con cui vengono utilizzate determinate password. Ad esempio, la maggior parte degli studi sui dump delle password rileva che 123456 è la password più comune. Questo articolo impegna la frequenza di tale password allo 0,6%, ma come discusso in quell'articolo ci sono molti avvertimenti. La mia breve lettura di questa trama suggerisce che le prime 25 password più comuni potrebbero spiegare qualcosa come il 10% di tutte le password. È difficile estrapolarlo per le prime 10 milioni di password.

Come suggerisce il mio primo link, ci sono probabilmente molti avvertimenti. Ad esempio, se chiedi a qualcuno di scegliere una password per il proprio conto bancario, potrebbero provare più di 123456 . In effetti, ci sono alcune prove che le persone stanno migliorando con le password negli ultimi tempi e molte di queste serie di dati si basano su perdite di qualche anno. Questi sono solo due dei tanti trucchi che rendono difficile stimare con certezza quali sono le probabilità che la password di un utente casuale sia presente nell'elenco.

Ancora una volta, dipende molto dalla persona. Se stai parlando del tipo di persona che sceglie 123456 per la loro password, allora c'è il 100% di probabilità che la loro password sia nella tua lista di 10 milioni di password. Se stai parlando di qualcuno che genera password lunghe casuali, probabilmente c'è una probabilità dello 0% che la loro password sia nella tua lista. Se stai parlando di qualcuno nel mezzo, allora chissà.

    
risposta data 18.09.2018 - 14:14
fonte
1

10 milioni sono un campione abbastanza grande, quindi se la tua fonte per quel campione è realizzabile (cioè il numero di account falsi, duplicati o robot, ecc. è basso), allora dovresti essere in grado di trarre qualche conclusione da esso. Tieni a mente il contesto: questi utenti security.stackexchange o utenti di Facebook?

Le tue conclusioni sembrano plausibili, tranne che per una cosa: le password potrebbero non essere "uniche" come in " usate solo da una singola persona globalmente ", anche se sono uniche nel tuo esempio. Di nuovo, avrai bisogno di un contesto.

Se cambi il tuo postulato da:

"There is a 50% probability that someone will pick a unique password"

Per qualcosa di simile:

"There is a 50% probability that someone will pick a password used less frequently than (frequency / number of users)"

... allora penso che potresti trarre qualche utile conclusione da ciò.

Forse qualcuno con una maggiore conoscenza delle statistiche può integrare (o contraddire) questo? È una domanda interessante.

    
risposta data 18.09.2018 - 13:30
fonte
1

Supponendo che tu abbia un campione casuale di tutte le password (non lo fai, ma potrebbe essere un'approssimazione abbastanza buona), puoi concludere che c'è una probabilità del 50% che un utente scelga una password usata meno spesso di una in dieci milioni.

Puoi non concludere che esiste una probabilità del 50% che un utente scelga una password unica globale. Quella probabilità è molto, molto più bassa. Dopo tutto, molti di quei cinque milioni di utenti con password uniche nel set potrebbero avere duplicati tra i miliardi di password utilizzate in tutto il mondo.

Pensaci in questo modo: se hai una serie di dieci password, tutte diverse, potresti concludere che tutti gli utenti scelgono password univoche globali?

    
risposta data 18.09.2018 - 13:36
fonte

Leggi altre domande sui tag