|
Сложные пароли снижают вашу безопасность
|
|
|
|
Использование в паролях различных типов символов и регулярная смена паролей официально больше не являются лучшими методами управления паролями. Это соответствует новым руководящим принципам, опубликованным Национальным институтом стандартов и технологий США, который разрабатывает и издает руководящие принципы, помогающие организациям защищать свои информационные системы. Новые руководящие принципы были опубликованы в сентябре 2024 года как часть второго общедоступного проекта NIST SP 800-63-4, последней версии Руководства NIST по цифровой идентификации.
|
|
|
|
Изменение в рекомендациях по использованию паролей
|
|
|
|
В течение многих лет общепринятые взгляды были направлены на то, чтобы пароли были очень сложными, сочетающими заглавные и строчные буквы, цифры и символы. Считалось, что из-за такой сложности пароли сложнее угадать или взломать с помощью грубой силы.
|
|
|
|
Однако эти сложные требования часто приводили к тому, что пользователи приобретали вредные привычки, такие как повторное использование паролей или выбор чрезмерно простых паролей, которые едва соответствовали критериям, например “P@ssw0rd123.’
|
|
|
|
|
|
|
Со временем NIST пришел к выводу, что такой акцент на сложности был контрпродуктивным и фактически ослаблял безопасность на практике.
|
|
|
|
Почему основное внимание уделяется длине, а не сложности?
|
|
|
|
В своем последнем руководстве NIST отказался от применения правил сложности в пользу более длинных паролей. Для этого есть несколько причин:
|
|
|
|
Поведение пользователей
|
|
|
|
Исследования показали, что пользователи часто с трудом запоминают сложные пароли, что приводит к их повторному использованию на нескольких сайтах или использованию легко угадываемых шаблонов, таких как замена букв похожими цифрами или символами.
|
|
|
|
Еще одной причиной такого поведения стало требование многих организаций менять свой пароль каждые 60-90 дней, что NIST больше не рекомендует.
|
|
|
|
Энтропия пароля
|
|
|
|
Надежность пароля часто измеряется энтропией, которая является показателем непредсказуемости. Другими словами, количество возможных комбинаций, которые могут быть созданы с использованием символов в пароле. Чем больше количество комбинаций, или энтропия, тем сложнее злоумышленникам взломать пароль с помощью грубой силы или методов угадывания.
|
|
|
|
Хотя сложность может способствовать увеличению энтропии, длина играет гораздо большую роль. Более длинный пароль с большим количеством символов имеет экспоненциально большее число возможных комбинаций, что затрудняет его угадывание злоумышленниками, даже если сами символы проще.
|
|
|
|
Человеческий фактор
|
|
|
|
Длинные пароли, которые легко запомнить, например, парольные фразы, состоящие из нескольких простых слов. Например, “big dog small rat fast cat purple hat jello bat” в форме пароля, поэтому без пробелов “bigdogsmallratfastcatpurplehatjellobat” является одновременно безопасным и удобным для пользователя. Такой пароль обеспечивает баланс между высокой энтропией и простотой использования, гарантируя, что пользователи не прибегнут к небезопасным действиям, таким как запись паролей или их повторное использование.
|
|
|
|
Длина имеет значение
|
|
|
|
Хотя сложность может способствовать увеличению энтропии, длина играет гораздо большую роль. Более длинный пароль с большим количеством символов имеет экспоненциально большее число возможных комбинаций, что затрудняет его угадывание злоумышленниками, даже если сами символы проще.
|
|
|
|
Кроме того, развитие вычислительной мощности упростило взлом коротких и сложных паролей. Однако даже сложные алгоритмы не справляются с длинными паролями из-за огромного количества возможных комбинаций.
|
|
|
|
В недавних новостях мэр Нью-Йорка Эрик Адамс объявил о замене четырехзначного пароля на шестизначный на своем личном смартфоне, прежде чем передать его правоохранительным органам. Я писал о том, как это изменение может помешать (на данный момент) правоохранительным органам взломать пароль на смартфоне Адамса.
|
|
|
|
Благодаря добавлению Адамсом двухзначного кода доступа количество возможных комбинаций увеличилось с 10 000 до 1 000 000. В своей новой рекомендации NIST подчеркивает, что позволяет пользователям создавать пароли длиной до 64 символов.
|
|
|
|
Пароль из 64 символов, состоящий только из строчных букв и настоящих слов, было бы чрезвычайно сложно взломать. Если использовать заглавные буквы и символы, то взломать пароль будет практически математически невозможно.
|
|
|
|
Источник
|
