Password habits, the attacker perspective

Abstract

Passord er veletablert som hoved-metode for autentifisering for brukerkontoer på internett. Siden passord ble introdusert, har flere ulike metoder for å beskytte brukerens konfidensialitet blitt implementert, både av brukere og av en rekke tjenestetilbydere.

Brukere har over tid blitt introdusert for flere anbefalinger med hensikt i å øke passordstyrke. Etter hvert har brukerne også blitt stilt ulike krav til hva passord må inneholde på bakgrunn av implementasjon av ulike passordregler. Samtidig har milliarder av brukerkontoer fått sine password lekket på internett i ulike datalekasjer.

Denne studien har som mål å fastslå om en potensiell angriper kan nyttiggjøre seg av tidligere datalekkasjer, når vedkommende knekker nye passord. For å teste denne hypotesen har mønster i passordlekkasjer blitt kvantifisert, og videre ble denne kunnskapen brukt til å knekke flertallet av passord i en datalekkasje.

Resultatene viser manglende tilfeldighet i passord, samtidig som relativt få mønstre går igjen i flesteparten av passordene. Med denne kunnskapen kan en angriper få en betydelig fordel ved knekking av nye passord.

Disse resultatene indikerer at de fleste brukere behøver en ny måte å tilnærme seg opprettelse av passord, for å redusere forutsigbare mønstre som angripere kan nyttiggjøre seg av ved et angrep. Samtidig behøver tjenestetilbydere å ha økt fokus på å følge bransjens retningslinjer ved lagring av passord, som gjør det vanskeligere for angripere dersom en datalekkasje skulle oppstå.

Passwords are well-established as a primary method of authentication for most online services. Since their inception, several methods to protect the confidentiality of passwords have been adopted by both the users and the services.

Users have over the years been faced with multiple recommendations designed to increasing password strength, and eventually, they were met by password requirements based on different implementations of rules and policies. At the same time, billions of useraccounts had their passwords leaked and published different data breaches.

This study aims to determine if an attacker may benefit from earlier data breaches when cracking new passwords. To test the hypothesis, patterns observed in data breaches were quantified, and that knowledge was used to crack a majority of passwords in a data breach.

The results showed a lack of randomness in passwords and that password leaks revealed that relatively few patterns accounted for most passwords. With this knowledge, attackers gain a significant advantage when cracking new passwords.

These results suggest that most users require a new way of approaching password creation and reducing predictable patterns that attackers can leverage during the attacks. At the same time, services protecting user’s passwords need to focus on following industry guidelines when storing passwords making it more difficult for attackers in the event of a data breach.