Сложные пароли не должны быть трудными для запоминания
Билл Бёрр – человек, занимающийся общими правилами по созданию сложных паролей, которые, по его мнению, должны обязательно сочетать буквенно-цифровые символы и чередовать прописные и строчные буквы, - признал свою ошибку. По словам Бюрра, эти правила «сводят людей с ума», при этом не обязательно, что пароли получатся сильными.
Четырнадцать лет плохих паролей
В 2003 году, когда Бёрр работал в Национальном институте стандартов и технологий (NIST), он опубликовал доклад, который стал справочным руководством по созданию безопасных паролей - NIST Special Publication 800-63. Appendix A. Руководство содержало две основные рекомендации. Первая: пароли должны представлять собой комбинацию из цифр, заглавных и прописных букв, а также специальных символов. Вторая: пароль необходимо менять каждые 90 дней. С момента своей публикации, руководство Билла Бёрра стало базой, на которой основывалось создание паролей. Многие компании стали использовать его и запретили своим пользователям использовать пароли, которые не отвечали этим требованиям. Так что же изменилось? Почему Бёрр сожалеет о своей роли в установлении статуса кво современных паролей?
Короткий ответ: люди все еще используют небезопасные пароли. В тех случаях когда пароли не должны соответствовать рекомендациям Бёрра и NIST, пользователи зачастую используют легко запоминающиеся (и также легко взламываемые) пароли, такие как “123456”, “111111” или “password”. Но проблема выходит за рамки этого. Даже если вы применяете логику Бёрра и NIST и конвертируете “password” в “P @ ssw0rd!”, все равно он остается легко взламываемым паролем. Когда многие пользователи используют такой пароль, то он становится шаблоном, который кибер-преступники могут использовать для доступа к своему аккаунту.
Решение
Бёрр – не единственный, кто признал, что изобретенный им метод устарел, а в некоторых случаях может быть даже небезопасным. Сам NIST обновил свои принципы цифровой идентификации в Digital Identity Guidelines, чтобы отразить новые изменения. По мнению данного института, ключ к безопасному паролю – это использование сложных фраз со словами, которые мы можем легко запомнить. Такой принцип представлен в комичном комиксе ниже с популярного xkcd.
Изображение: xkcd
В верхней строке показан пароль с буквенно-цифровыми символами, заглавными буквами и специальными символами (по сути, это «идеальный пароль» с точки зрения старого мышления), который может быть подобран примерно за 3 суток. Нижняя строка показывает, как фраза из четырех слов увеличивает время для подбора пароля до 550 лет. На протяжении многих лет мы прибегали к паролям, которые мы сами с трудом могли запомнить, но при этом они были легко угадываемыми для машин.
Время перемен
Если вы еще не сделали этого, то настало самое время сменить политику паролей в вашей компании. Одна из причин, почему многие сотрудники ставят под угрозу безопасность компании, - это выбор легко запоминающегося пароля, который также можно легко взломать. Иногда оказывается, что некоторые пароли, которые очень сложно запомнить, также можно достаточно легко подобрать. Поэтому важно подчеркнуть, что этот новый способ создания паролей сочетает в себе простоту и безопасность.
В новых рекомендациях NIST не рекомендуется регулярно менять пароли, а делать это скорее в случае крайней необходимости (например, после какого-то инцидента безопасности). Причина кроется в том, что пользователи могут воспользоваться более простым вариантом и сделать небольшие изменения в пароле, что сведет на нет все преимущества от изменения пароля. Более того, необходимость регулярно просить и даже требовать смены пароля может способствовать развитию “усталости от безопасности” среди сотрудников – это все более распространенная проблема среди всех видов компаний.
Билл Бёрр и NIST признали, что их метод не эффективен. Теперь ответственность лежит на нас. Внедрение новых принципов поможет создавать более безопасные пароли и защищать предприятие от кибер-преступников.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.