Парольные тренды

Парольные тренды
Пока многие (включая вашего покорного слугу) утверждают, что пароли себя изжили, их адепты не собираются сдаваться.

Стэнфордский университет недавно обновил требования к паролям для доступа студентов и преподавателей к внутренним ресурсам своей сети. Теперь жёсткие требования использования букв в разных регистрах, цифр и спецсимволов действуют только для коротких паролей, и чем длиннее пароль, тем эти требования мягче. При длине пароля от 8 до 11 символов их использование обязательно, от 12 до 15 — можно обойтись только буквами в разных регистрах и цифрами, от 16 до 19 — можно отказаться от цифр, а для паролей от 20 символов нет вообще никаких ограничений.

Идея здравая и полезная. В принципе, ничего удивительного, но может быть, кто-то уже натыкался, а если нет, то буду признателен, если прокомментируете мои мысли на этот счет. Они ниже.

Стэнфорд требует для пароля 8-11 символов наличие регистров, цифры, спецсимвола. Пароль придумывают люди, поэтому полностью равномерного распределения не будет. Есть "любимчики" ведь.

Поясню мысль на примере из головы. Если в пароле требуется как минимум одна большая буква и одна цифра, то:

1. Скорее всего эта большая буква будет либо первой, либо последней
2. Чаще всего будет использоваться цифра "1". Как-то "Anypass1"

Это я к тому, что насколько реально повысится надёжность? Думаю, что нужно дополнительный "костыль" к идее Стэнфорда сделать: сгенерировать словари по определённым правилам. Чтобы исключить варианты Qwerty123$. Хотя, может быть, для стэндфордской библиотеки такой надежности и хватит, но что делать, например, с паролями от корпоративной CRM-системы?..

В общем, правила хотя и интересны, но, на мой взгляд, нуждаются в доработке. Давайте сообща придумаем, как их доработать.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.