Същността на метода се състои в следното: новата система проверява за избягване на повтарянето на избрана парола между различните потребители и по този начин в дадена голяма организация не се налага използването на много сложни пароли.
Изискванията към паролите обикновено се свеждат до: дължина - не по-малко от 14 символа; да съдържат малки и големи букви, както и специални символи; нарочно допускане на правописни грешки. Всичко това се прави с цел да се избегне подбиране на вярната парола по предварително съставен речник на типичните съчетания. Без тези ограничения потребителите са склонни да подбират пароли, които са лесни за запомняне и набиране и съответно лесни за подбор. През изминалата година нееднократно се съобщаваше за пробиви в паролите на някои социални мрежи. Анализът показва, че причината за това е изборът на тривиални пароли - последователност от цифри, стандартни думи, общоизвестни наименования и други. Изискванията за дълги пароли, съставени от малки и големи букви и съдържащи специални символи увеличават възможните варианти за подбор, но от друга страна, тези пароли са трудни за запомняне. Получава се затворен кръг.
Един от начините за борба с този проблем е ограничаването броя на въвежданите пароли - примерно до пет опита. И в този случай хакерите са намерили сравнително прост начин за заобикаляне на това ограничение. Вместо да се подбират хиляди или милиони варианти за пробив на акаунт, атакуващата страна опитва да влезе в системата чрез речников подбор на най-разпространените пароли, но само че на хиляди и дори милиони потребителски акаунти.
Новата схема, предложена от Майкрософт намалява изискването за голяма сложност на паролите, като при това акаунтите остават защитени от атака чрез речников подбор. Системата отчита колко пъти потребителите използват една и съща парола и когато няколко души започнат да използват еднакви пароли - съответната парола се блокира и не може да се използва. Този метод е удобен при системи с много потребители - например при пощенските системи и услуги.
Много често, при стремеж за постигане на бързина и удобство, много организации имат ниски и дори примитивни изисквания при използването на акаунтите. Новата система е предназначена да намери обща допирна точка между специалистите по безопасност, настояващи за използване на сложни пароли и хората, осигуряващи удобство на потребителите при вход в системата.
Източник: Technology Review, Microsoft Research
