Как язык влияет на безопасность?

Различия между паролями на китайском и английском языках имеют большое значение для безопасности популярных веб-сервисов.

Независимо от языковых и культурных различий, как китайские, так и англоязычные пользователи Интернета, по-видимому, находят общий язык в использовании легко угадываемых вариантов пароля «123456».

Исследование

Но недавнее исследование, сравнивающее шаблоны паролей на двух языках, также обнаружило примечательные и уникальные особенности китайских паролей, которые имеют большое значение для безопасности в Интернете за пределами Китая.

Привычки к паролям китайских пользователей на удивление малоизучены, учитывая, что они составляют более 20 процентов всех пользователей Интернета во всем мире.
Более 854 миллионов человек используют Интернет только в Китае, что более чем вдвое превышает население Соединенных Штатов. Вот почему группа китайских и американских исследователей решила проверить, как безопасность паролей среди китайских и англоязычных пользователей противостоит лучшим алгоритмам взлома.

Анализ

Было проанализировано 106 миллионов реальных паролей от девяти веб-сервисов - 73 миллиона паролей от шести сервисов на китайском языке и 33 миллиона паролей от трех англоязычных сервисов, - которые были обнаружены хакерами и просочились в сеть в период с 2009 по 2012 год.
То, что может показаться надежным паролем, основанным на предположениях об английском языке, на самом деле может быть довольно слабым и легко угадываемым с точки зрения китайского языка.

Тем не менее, многие популярные в мире веб-службы, включая некоторые китайские службы, подходят к защите паролей с точки зрения английского языка.
Исследователи указали на пример популярного китайского пароля «woaini1314», который в настоящее время оценивается как «надежный» с помощью измерителей надежности пароля, используемых AOL, Google и даже популярной китайской социальной сетью Sina Weibo (и IEEE, родительской организацией IEEE Spectrum ).
Но люди, говорящие на китайском мандаринском диалекте, наиболее популярном диалекте китайского языка, могут легко угадать пароль «woaini1314», потому что «woaini» в китайском пиньинь (латинизированная система китайских иероглифов) означает «Я люблю тебя», а «1314» звучит как « навсегда »на китайском языке.
Одно из основных различий между паролями на китайском и английском языках заключается в том, что многие пользователи китайского языка предпочитают пароли, состоящие исключительно из цифр.

Банальные пароли

Помимо печально известного пароля «123456», среди пользователей китайского языка есть и другие популярные пароли: «111111», «123123» и «123321.»
Выбирая тему любви, используется фраза «5201314», потому что она звучит похоже на фразу «Я люблю тебя во веки веков» на китайском языке.
В некоторых популярных сегментах паролей к строке цифр добавляется буква, например «a12345» и «12345a».
Китайские пользователи также часто используют свои номера мобильных телефонов или определенные даты (например, дни рождения) в паролях - то, что англоязычные пользователи делают не так часто.

Вместо этого англоязычные пользователи часто составляют пароли, состоящие только из букв, и склоняются к определенным словам или фразам, таким как легко угадываемый «пароль», «letmein», «sunshine» и «princess».

Некоторые из самых популярных паролей включают «abcdef» и «abc123» вместе с «123456».

Пароли, состоящие только из цифр, легче взломать, чем пароли, состоящие только из букв, потому что комбинации цифр основаны всего на 10 возможных цифрах, в отличие от 26 букв в современном английском алфавите.

Но носители китайского языка иногда демонстрировали невероятно сложные и изобретательные пароли: некоторые члены службы Китайской сети разработчиков программного обеспечения (CSDN) сочетали языковые команды программирования с традиционными китайскими стихами. Файлы паролей, используемые исследователями, содержали хеши утечек или украденных паролей, а не текстовые версии самих паролей. Исследователи пытались расшифровать пароли как на китайском, так и на английском языке, используя два современных алгоритма взлома паролей. Они протестировали модель цепи Маркова, которая присваивает определенные вероятности символам пароля на основе их отношений друг с другом, и модель вероятностных контекстно-свободных грамматик (PCFG), которая анализирует пароли на сегменты букв, сегменты цифр и сегменты символов перед тем, как угадать порядок наиболее вероятных комбинаций.

Команда также улучшила подход PCFG, изменив его для учета определенных шаблонов паролей, более общих для китайскоязычных пользователей.
Например, они добавили числовые сегменты в популярном формате даты и китайские имена, написанные в романизированной системе пиньинь.
Они также дали своему основанному на PCFG алгоритму возможность обрабатывать шаблоны чередования - последовательности чередующихся цифр и букв - которые встречаются во многих китайских паролях.
Вместе эти усилия повысили производительность модифицированного алгоритма на основе PCFG по сравнению с китайскими наборами данных паролей - он взломал на 98–188 процентов больше паролей, чем стандартная версия алгоритма.

Результаты

Результаты также выявили основные сильные и слабые стороны паролей на китайском языке по сравнению с паролями на английском языке.
Оба типа алгоритмов взламывают более простые китайские пароли по сравнению с английскими паролями, если ограничено 10 000 попыток угадывания или меньше.
Но оставшиеся китайские пароли оказались более надежными, чем их пароли на английском языке, поскольку количество попыток угадывания превысило 10 000 попыток.
Количество предположений имеет значение, потому что многие веб-службы ограничивают количество предположений в сети перед временной блокировкой учетной записи пользователя.

Утечка или кража файлов хранилища паролей может позволить хакерам проводить теоретически неограниченное количество атак с предположением оффлайн, потому что им не нужно иметь дело с возможной блокировкой доступа к веб-службе.
Но даже атаки на основе предположений в автономном режиме по-прежнему ограничены экономичностью затрат времени и ресурсов вычислений на такое количество попыток угадать.

Между двумя алгоритмами взлома алгоритм на основе Маркова показал себя лучше всего, когда ему была предоставлена возможность сделать 10 000 или более предположений.
Для сравнения: алгоритм на основе PCFG работает так же или лучше, чем алгоритм на основе Маркова, с меньшим количеством предположений.
Но подход на основе PCFG также оказался наиболее эффективным, учитывая, что он требовал на 31% меньше вычислений и на 70% меньше памяти, чем подход на основе Маркова.

Вывод

С точки зрения безопасности исследование также имеет большое значение для компаний, работающих с веб-сервисами, у которых есть значительное количество пользователей китайского языка, или даже для компаний, которые надеются когда-нибудь привлечь в качестве клиентов значительное количество китайцев.
Также очевидно, что отдельные носители китайского языка могут оказать себе услугу, избегая использования предсказуемых цифровых шаблонов, таких как «123456» и «111111» для своих паролей, не говоря уже о предсказуемых буквенно-буквенно-цифровых гибридных шаблонах, основанных на романтических темах. (То же самое касается англоязычных людей, которые все еще используют «123456» и «abcdef»).

В рамках более глубокого погружения исследователи надеются продолжить оценку шаблонов паролей на китайском языке, используя опросы, чтобы лучше понять, о чем китайские пользователи Интернета думают при создании своих паролей.