Для оценки необходимой длины пароля можно воспользоваться следующей методикой.
1. Задаться вероятностью несанкционированного вскрытия (взлома) пароля. Эта величина (обозначим ее символом Р) должна быть достаточно малой. Например, одна успешная попытка взлома на миллион проведенных безуспешных попыток. Для определенности примем Р = 10-6.
Будем считать, что злоумышленник ведет атаку на почтовый ящик путем последовательного ручного перебора всех возможных комбинаций в пароле.
2. Задаться вероятной скоростью V подбора (перебора и ввода) паролей, например, при наборе с клавиатуры можно принять V = 10 паролей/мин.
3. Задаться вероятным временем T непрерывной работы злоумышленника по подбору пароля. Для определенности примем это время, равным одной неделе. Выразим общее время подбора (угадывания) пароля в минутах:
Т = 1×7×24×60 = 10080 мин.
Для справки определим число паролей N, которое злоумышленник (порой таких людей называют хакерами) успеет перебрать за время Т:
N = V×T = 10×10080 = 100800.
4. Задаться числом символов А, из которых может состоять пароль (этот параметр называется мощностью алфавита паролей). Для пароля состоящего из одних цифр, А =10. Для заглавных (или строчных) букв латинского алфавита A = 26. Для заглавных и строчных латинских букв А=52, а для заглавных, строчных латинских букв и арабских цифр А = 62. Для пароля, состоящего из цифр и строчных (или заглавных) букв А = 36. Для всех печатных символов (включая знаки препинания и специальные символы) А = 95.
Число возможных паролей при выбранной мощности алфавита определяется длиной пароля L из соотношения S = AL. Величина S по-другому называется мощностью пространства паролей.
5. Определить необходимую длину пароля (число символов) из соотношения:
P = N/S,
где S – общее число существующих паролей при выбранных значениях A и L; N – число паролей, которое злоумышленник успеет перебрать за время Т при скорости перебора V; Р – вероятность взлома пароля.
Опуская промежуточные преобразования, из предыдущего выражения получим:
.
Получим количественную оценку длины пароля для ранее выбранных нами конкретных значений:
.
Таким образом, для обеспечения заданной стойкости пароля он должен содержать не менее восьми символов. Напомним, что такой пароль может быть взломан за неделю непрерывной атаки с вероятностью Р = 10-6.
Если необходимо определить время, требующееся злоумышленнику для взлома пароля, то нужно задаться скоростью подбора паролей, рассчитать число существующих комбинаций и принять вероятность взлома равной единице.
Примечание.
Компания CentralNic провела опрос 1200 пользователей Internet, по результатам которого выяснилось, что выбираемые ими пароли доступа можно распределить по четырем категориям: семья; звезды шоу-бизнеса и спорта; терминология и персонажи фэнтези; случайные.
Почти половина опрошенных пользователей использует пароли, ассоциирующиеся с семьей. При этом имена детей составили 20,5% от всех "семейных" паролей, клички домашних животных - 6%, даты рождения - 2,6%. Примечательно, что 55,3% участников данной категории использовали в качестве пароля собственные имена. Имена известных людей были выбраны в качестве паролей 32% опрошенных. Лишь 11% респондентов пользуются паролями, представляющими собой случайные последовательности букв и цифр, хотя известно, что только такие пароли позволяют защититься наилучшим образом.