Contraseñas: ¿alguna estadística sobre el comportamiento del usuario?

14

Estoy buscando análisis de cómo los usuarios eligen y usan las contraseñas. Estoy seguro de que hay muchos recursos que analizan las contraseñas de los usuarios. Por ejemplo, he visto a muchas personas analizar volcados de bases de datos de contraseñas de sitios que fueron hackeados. Me gustaría obtener más información sobre lo que se sabe sobre este tema y encontrar recursos donde pueda obtener más información.

Me interesan especialmente los datos sobre preguntas como:

  • ¿Cuánta entropía tienen las contraseñas de los usuarios?
  • ¿Cuántos usuarios eligen una contraseña que pueda adivinar?
  • ¿Cuáles son las contraseñas más comunes?
  • ¿Cómo se ve la distribución de la entropía o la longitud de la contraseña?

Recolectemos tantos de estos recursos y análisis como podamos encontrar. Cuanto más, mejor!

No dude en publicar recursos que analicen otras preguntas relacionadas sobre el comportamiento de los usuarios con respecto a las contraseñas, por ejemplo:

  • ¿Cuántos usuarios usan las mismas contraseñas en varios sitios?
  • ¿Cuántas contraseñas diferentes tiene típicamente un solo usuario?
  • ¿Cómo administran los usuarios sus contraseñas?
  • ¿Cuántos usuarios escriben sus contraseñas en algún lugar?
  • ¿Los usuarios eligen las contraseñas de forma más segura para tareas críticas, como la banca en línea?
  • ¿Cuántos usuarios son engañados por los sitios de phishing o pueden ser engañados para que revelen sus contraseñas?

Y así sucesivamente.

    
pregunta D.W. 29.08.2011 - 19:41
fuente

5 respuestas

14

Las filtraciones de contraseñas de la gran web (particularmente RockYou, donde la filtración fue de contraseñas de texto simple, por lo que incluso las contraseñas más fuertes son visibles) se han analizado varias veces. Ver por ejemplo Imperva y Troy Hunt - o simplemente tome algunas de las listas de contraseñas y realice su propio análisis para calcular la entropía, etc.

Troy y un grupo de Cambridge encontraron una contraseña significativa reutilización en sitios de alrededor del 70%.

Un interesante CISCO, RedJack y el documento del Estado de Florida proporciona algunas estadísticas sobre la combinación de caracteres / entropía de las contraseñas filtradas (las contraseñas más largas tienden también a tener una mayor combinación de caracteres) y el efecto de las políticas de contraseña como "debe contener un dígito" en la fuerza de la contraseña. Este análisis muestra que la mayoría de los usuarios (> 70%) que enfrentan una política de "debe contener un dígito" usarán un prefijo / sufijo numérico simple, y muchos de los restantes usarán sustituciones de l33t-speak (ninguno de los cuales ofrece mucha protección contra JtR). -tipo herramientas); de manera similar, el 30% de las contraseñas que contienen un "carácter especial" tienen solo una, al final. El documento también muestra que el "modelo de entropía" del NIST es un indicador deficiente de la capacidad de descifrado de contraseñas en la naturaleza, ya que no tiene en cuenta el uso de palabras comunes como la base de la gran mayoría de las contraseñas.

Ese documento hace referencia a otro , que mostró lo que todos sabemos: el resultado de las políticas de caducidad de la contraseña en los usuarios que realizan pequeños cambios incrementales para generar una nueva contraseña cada vez que caduque, y que los atacantes podrían utilizar este conocimiento para romper contraseñas "nuevas" dadas una anterior mucho más rápido de lo que permitirían los ataques de fuerza bruta o diccionario. Ese documento recomienda de manera tentativa contraseñas que no caducan con requisitos de longitud / complejidad mucho más estrictos (por ejemplo, una frase de contraseña del estilo de palabras clave).

En su presentación OWASP 2011 KoreLogic mostró una diapositiva con la "proporción resquebrajada" para varias filtraciones de contraseñas (con hash / cifrado), lo que sugiere que menos del 10%, y probablemente < 2%, de los usuarios tienen contraseñas lo suficientemente complejas y lo suficientemente largas como para resistir una combinación de diccionarios , ataques de arco iris y fuerza bruta. También podemos inferir que los ataques de fuerza bruta son notablemente peores que los ataques de arco iris: los dos ejemplos en esa diapositiva que incluyen sal tienen proporciones significativamente más bajas que en los casos simples de MD5 / sin sal.

Re: ¿La gente usa contraseñas más seguras para sus cuentas bancarias, etc.?

El análisis de KoreLogic indica que las contraseñas "corporativas" son bastante más complejas que las típicas "contraseñas web". Esta diferencia parece deberse a las políticas de contraseñas corporativas típicas (por ejemplo, que exigen una duración mínima y el uso del conjunto de caracteres), lo que hace que la contraseña típica sea más "compleja" pero también conduce a algunos patrones de derivación de contraseñas que se repiten con frecuencia. No creo que podamos asumir que las contraseñas en los sitios bancarios / financieros serán más complejas en ausencia de la aplicación de políticas de estilo corporativo.

La entrada "en blanco" en la captura de pantalla de Hash EXchange en la presentación de KoreLogic probablemente se relaciona con el "sitio financiero sin nombre". Puede que no sea un banco, pero el 70% de la proporción de grietas nos da una indicación de que, si bien los usuarios podrían usar contraseñas más sólidas allí (en comparación con Gawker, etc.), una gran mayoría aún usa contraseñas débiles.

    
respondido por el Misha 30.08.2011 - 10:25
fuente
7

Esta publicación del blog de Troy Hunt ofrece un análisis interesante basado en los datos. de Sony, Gawker y otras violaciones.

    
respondido por el jrdioko 29.08.2011 - 22:44
fuente
5

Uno de los sitios que parece útil es PasswordResearch.com : tienen el análisis ordenado en:

  • Prácticas de contraseña de usuario
  • Políticas, prácticas o procedimientos de autenticación
  • Políticas o prácticas de por vida de la contraseña
  • Políticas o prácticas de longitud de contraseña
  • Políticas o prácticas de uso de caracteres de contraseña
  • Incidentes criminales relacionados con la autenticación
  • Opiniones sobre la autenticación
  • Uso de las tecnologías de autenticación en el mercado
  • Costos asociados con la autenticación
  • Impactos comerciales de la autenticación
respondido por el Rory Alsop 29.08.2011 - 21:26
fuente
1

Aquí hay más estadísticas sobre el uso de la contraseña y su reutilización:

  • Demasiadas personas reutilizan los inicios de sesión, Study Finds (PCWorld, febrero de 2010) informa que El 73% de los usuarios reutiliza su contraseña de banca en línea en al menos otro sitio web. El 50% reutiliza su nombre de usuario y contraseña de banca en línea en al menos otro sitio.

  • Sophos (marzo de 2009) informa que el 33% de los usuarios admite usando la misma contraseña para cada sitio web que usan. El 48% dice que usa contraseñas diferentes.

  • Un estudio a gran escala de los hábitos de las contraseñas web (Florencio y Herley, mayo de 2007) estudia a medio millón de usuarios y mide el uso de sus contraseñas, como la cantidad de contraseñas y cuentas que tienen, la frecuencia con la que comparten las contraseñas entre los sitios y la seguridad de sus contraseñas. Por ejemplo, informan que el usuario típico tiene un promedio de 6.5 contraseñas, y cada contraseña se comparte (en promedio) en 3.9 sitios diferentes. Afirman que la fuerza promedio de una contraseña de usuario (en bits) es de 40 bits. Estiman que al menos el 1.5% de los usuarios de Yahoo olvidan sus contraseñas cada mes.

respondido por el D.W. 21.10.2011 - 05:02
fuente
1

Es un poco tarde para la fiesta, pero la red enredada de reutilización de contraseña (2014) por Anupam Das, Joseph Bonneau, Matthew Caesar, Nikita Borisov y Xiao Feng Wang tiene una visión profunda de la reutilización de la contraseña.

Estudian once sitios web con varios cientos de miles de contraseñas filtradas. La estimación que hacen es aproximadamente el 50% de reutilización entre múltiples sitios.

    
respondido por el Bono 25.02.2016 - 17:54
fuente

Lea otras preguntas en las etiquetas