прислать материал
AIN.UA » Безопасность, Коллекции, СообществоМноголетние практики по созданию безопасных pa$sw0rdS признали неэффективными
 

Многолетние практики по созданию безопасных pa$sw0rdS признали неэффективными

7356 2

В 2003 году менеджер Национального института стандартов и технологий США (NIST) Билл Бурр написал восьмистраничный документ NIST Special Publication 800-63. Appendix A. В нем пользователям советовали выдумывать пароли, содержащие комбинацию заглавных и строчных букв, специальных символов и пунктуации и регулярно их изменять. Документ стал главным руководством для создания защищенных паролей для государственных организаций, крупных компаний и социальных платформ. А пароли вроде p@S$w0rD1z3 стали нормой. 

Спустя почти 15 лет оказалось, что такой подход был далеко не безопасным. «О большей части того, что сделал, я сожалею», — сказал 72-летний Бурр в интервью The Wall Street Journal.

Правила NIST должны были привнести в пароли случайность. Но вместо этого они привели к созданию поколения широко используемых глупых секретных фраз вроде Pa$$w0rd или Monkey1! «Но это не случайность, когда вы и 10 000 других людей делают одно и тоже», — говорит исследователь из Microsoft Кормак Херли.  

Использование специальных символов и разных регистров создало для паролей проблему удобства использования. Людям сложно запомнить такие последовательности, но они создаются по простым правилам, которым алгоритмам взломщиков легко следовать при подборе. Неверной оказалась и рекомендация менять пароли каждые 90 дней. Она привела к тому, что пользователи вносили незначительные изменения вроде Pa55word!1 на Pa55word!2, что легко предугадать. 

В июне документ, разработанный Бурром, полностью переписали. Пол Грасси, советник NIST, который руководил двухлетним созданием нового руководства, полагал, что методики потребуют лишь незначительных правок. «В итоге мы писали его с нуля», — сказал он.

От спецсимволов и разных регистров в новом документе отказались. Регулярно менять пароли уже тоже не рекомендуется — стоит придумывать новые секретные фразы только если текущие скомпрометировали. 

Теперь NIST советует использовать легко запоминаемые наборы несвязанных смыслом слов. То есть, безопасный пароль должен выглядеть примерно так: «советканделябрдевятнадцатьсинхрофазотрон».

Ученые, исследовавшие пароли, утверждают, что использование пароля из четырех слов хакерам сложнее взломать, чем более короткий со специальными символами. Большее количество букв усложняет им работу в сравнении с меньшим количеством букв, символов и цифр.

В 2011 году художник-мультипликатор Рэндалл Манро в популярном комиксе посчитал, что для взлома пароля correct horse battery staple («правильный лошадь батарея скрепка»), написанного одним словом, потребуется 550 лет. Пароль Tr0ub4dor&3, созданный по правилам Бурра, могут подобрать всего за три дня. Расчеты Манро подтвердили специалиста по компьютерной безопасности. «Благодаря 20-летним усилиям мы успешно научили всех использовать пароли, которые людям трудно запомнить, но компьютерам легко взломать», — говорится в комиксе Манро. 

Напомним, ранее мы публиковали материал с практиками, которые обезопасят от взлома. 

Заметили ошибку? Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

Также подобрали для вас

загрузить еще

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

2 комментария

по хронологии
по рейтингу сначала новые по хронологии
Stepan Tanasiychuk

Классика — "Сорок тысяч обезьян в жопу сунули банан"
Глубина-глубина, я не твой )

Жаль что 72-летний Бурр до сих пор "редиска" и не понял что не пароли должны быть сложными, а системы проверяющие пароли должны не позволять перебор) Тогда даже 4-х значный Pass по словарю будут годами перебирать.

Поиск

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: