Правила NIST должны были привнести в пароли случайность. Но вместо этого они привели к созданию поколения широко используемых глупых секретных фраз вроде Pa$$w0rd или Monkey1! “Но это не случайность, когда вы и 10 000 других людей делают одно и тоже”, – говорит исследователь из Microsoft Кормак Херли.  

Использование специальных символов и разных регистров создало для паролей проблему удобства использования. Людям сложно запомнить такие последовательности, но они создаются по простым правилам, которым алгоритмам взломщиков легко следовать при подборе. Неверной оказалась и рекомендация менять пароли каждые 90 дней. Она привела к тому, что пользователи вносили незначительные изменения вроде Pa55word!1 на Pa55word!2, что легко предугадать. 

В июне документ, разработанный Бурром, полностью переписали. Пол Грасси, советник NIST, который руководил двухлетним созданием нового руководства, полагал, что методики потребуют лишь незначительных правок. “В итоге мы писали его с нуля”, – сказал он.

От спецсимволов и разных регистров в новом документе отказались. Регулярно менять пароли уже тоже не рекомендуется – стоит придумывать новые секретные фразы только если текущие скомпрометировали. 

Теперь NIST советует использовать легко запоминаемые наборы несвязанных смыслом слов. То есть, безопасный пароль должен выглядеть примерно так: “советканделябрдевятнадцатьсинхрофазотрон”.

Ученые, исследовавшие пароли, утверждают, что использование пароля из четырех слов хакерам сложнее взломать, чем более короткий со специальными символами. Большее количество букв усложняет им работу в сравнении с меньшим количеством букв, символов и цифр.

В 2011 году художник-мультипликатор Рэндалл Манро в популярном комиксе посчитал, что для взлома пароля correct horse battery staple (“правильный лошадь батарея скрепка”), написанного одним словом, потребуется 550 лет. Пароль Tr0ub4dor&3, созданный по правилам Бурра, могут подобрать всего за три дня. Расчеты Манро подтвердили специалиста по компьютерной безопасности. “Благодаря 20-летним усилиям мы успешно научили всех использовать пароли, которые людям трудно запомнить, но компьютерам легко взломать”, – говорится в комиксе Манро. 

Напомним, ранее мы публиковали материал с практиками, которые обезопасят от взлома.