Многолетние практики по созданию безопасных pa$sw0rdS признали неэффективными
В 2003 году менеджер Национального института стандартов и технологий США (NIST) Билл Бурр написал восьмистраничный документ NIST Special Publication 800-63. Appendix A. В нем пользователям советовали выдумывать пароли, содержащие комбинацию заглавных и строчных букв, специальных символов и пунктуации и регулярно их изменять. Документ стал главным руководством для создания защищенных паролей для государственных организаций, крупных компаний и социальных платформ. А пароли вроде p@S$w0rD1z3 стали нормой.
Спустя почти 15 лет оказалось, что такой подход был далеко не безопасным. "О большей части того, что сделал, я сожалею", - сказал 72-летний Бурр в интервью The Wall Street Journal.
Правила NIST должны были привнести в пароли случайность. Но вместо этого они привели к созданию поколения широко используемых глупых секретных фраз вроде Pa$$w0rd или Monkey1! «Но это не случайность, когда вы и 10 000 других людей делают одно и тоже», — говорит исследователь из Microsoft Кормак Херли.
Использование специальных символов и разных регистров создало для паролей проблему удобства использования. Людям сложно запомнить такие последовательности, но они создаются по простым правилам, которым алгоритмам взломщиков легко следовать при подборе. Неверной оказалась и рекомендация менять пароли каждые 90 дней. Она привела к тому, что пользователи вносили незначительные изменения вроде Pa55word!1 на Pa55word!2, что легко предугадать.
В июне документ, разработанный Бурром, полностью переписали. Пол Грасси, советник NIST, который руководил двухлетним созданием нового руководства, полагал, что методики потребуют лишь незначительных правок. «В итоге мы писали его с нуля», — сказал он.
От спецсимволов и разных регистров в новом документе отказались. Регулярно менять пароли уже тоже не рекомендуется — стоит придумывать новые секретные фразы только если текущие скомпрометировали.
Теперь NIST советует использовать легко запоминаемые наборы несвязанных смыслом слов. То есть, безопасный пароль должен выглядеть примерно так: «советканделябрдевятнадцатьсинхрофазотрон».
Ученые, исследовавшие пароли, утверждают, что использование пароля из четырех слов хакерам сложнее взломать, чем более короткий со специальными символами. Большее количество букв усложняет им работу в сравнении с меньшим количеством букв, символов и цифр.
В 2011 году художник-мультипликатор Рэндалл Манро в популярном комиксе посчитал, что для взлома пароля correct horse battery staple («правильный лошадь батарея скрепка»), написанного одним словом, потребуется 550 лет. Пароль Tr0ub4dor&3, созданный по правилам Бурра, могут подобрать всего за три дня. Расчеты Манро подтвердили специалиста по компьютерной безопасности. «Благодаря 20-летним усилиям мы успешно научили всех использовать пароли, которые людям трудно запомнить, но компьютерам легко взломать», — говорится в комиксе Манро.
Напомним, ранее мы публиковали материал с практиками, которые обезопасят от взлома.
Комментарии | 2
Классика — «Сорок тысяч обезьян в жопу сунули банан»
Глубина-глубина, я не твой )
Жаль что 72-летний Бурр до сих пор «редиска» и не понял что не пароли должны быть сложными, а системы проверяющие пароли должны не позволять перебор) Тогда даже 4-х значный Pass по словарю будут годами перебирать.