Многолетние практики по созданию безопасных pa$sw0rdS признали неэффективными

2














08.08.2017 17:25

Правила NIST должны были привнести в пароли случайность. Но вместо этого они привели к созданию поколения широко используемых глупых секретных фраз вроде Pa$$w0rd или Monkey1! «Но это не случайность, когда вы и 10 000 других людей делают одно и тоже», — говорит исследователь из Microsoft Кормак Херли.  

Использование специальных символов и разных регистров создало для паролей проблему удобства использования. Людям сложно запомнить такие последовательности, но они создаются по простым правилам, которым алгоритмам взломщиков легко следовать при подборе. Не верным оказалась и рекомендация менять пароли каждые 90 дней. Она привела к тому, что пользователи вносили незначительные изменения вроде Pa55word!1 на Pa55word!2, что легко предугадать. 

В июне документ, разработанный Бурром, полностью переписали. Пол Грасси, советник NIST, который руководил двухлетним созданием нового руководства, полагал, что методики потребуют лишь незначительных правок. «В итоге мы писали его с нуля», — сказал он.

От спецсимволов и разных регистров в новом документе отказались. Регулярно менять пароли уже тоже не рекомендуется — стоит придумывать новые секретные фразы только если текущие скомпрометировали. 

Теперь NIST советует использовать легко запоминаемые наборы несвязанных смыслом слов. То есть, безопасный пароль должен выглядеть примерно так: «советканделябрдевятнадцатьсинхрофазотрон».

Ученые, исследовавшие пароли, утверждают, что использование пароля из четырех слов хакерам сложнее взломать, чем более короткий со специальными символами. Большее количество букв усложняет им работу в сравнении с меньшим количеством букв, символов и цифр.

Натисніть на стрілку що б перейти до наступної сторінки

Оставить комментарий