Рубрика развивается при поддержке
Advertisement

Обратная сторона «безопасных» паролей Статьи редакции

Автор руководства по созданию паролей спустя 14 лет признался, что его советы сделали комбинации «более предсказуемыми».

Бывший сотрудник Национального института стандартов и технологий США (NIST) Билл Бёрр (Bill Burr) рассказал изданию The Wall Street Journal, что жалеет о созданном во время работы в агентстве популярном руководстве по выбору безопасного пароля. Дело не в том, что он предлагал уязвимые комбинации: по мнению 72-летнего специалиста, после его советов пользователи стали использовать слишком предсказуемые пароли.

Бёрр выпустил восьмистраничный документ с рекомендациями в 2003 году. Согласно предложенным им правилам, пароль должен был содержать не только легко запоминаемые слова, но и символы и знаки препинания. Также пользователям советовали менять комбинацию каждые 90 дней. По данным The Wall Street Journal, рекомендации NIST стали основными для многих федеральных агентств и крупных компаний.

В результате появились пароли вроде «P@ssW0rd123», однако они не стали безопаснее. Многие люди использовали одинаковые техники, что упростило работу хакерам. По словам специалистов, созданную по правилам Бёрра комбинацию «Tr0ub4dor&3» можно взломать за три дня, потому что логика замены букв на символы слишком легко просчитывается.

Бывший сотрудник NIST подчеркнул, что совет менять пароль каждые три месяца сделал ситуацию ещё хуже. Пользователи ленились запоминать новые комбинации, поэтому «Pa55word!1» через 90 дней превращался в «Pa55word!2».

Сейчас я жалею о многом из того, что советовал.​

Билл Бёрр
бывший сотрудник NIST

В июне 2017 года в NIST представили новый документ по созданию безопасного пароля. По словам автора нового руководста Пола Грасси (Paul Grassi), изначально планировалось просто подредактировать старый вариант, но в итоге его пришлось переписывать с нуля. В новых правилах советуют использовать целые фразы и менять их только в случае взлома или утечки. Специалисты подчеркнули, что на подбор таких паролей уйдут десятилетия.

Несмотря на небезопасность старых рекомендаций, Грасси похвалил работу ушедшего на пенсию Бёрра. Он понадеялся, что его вариант документа тоже сможет стать стандартом на ближайшие 15 лет.

В августе 2017 года разработчик Microsoft Трой Хант (Troy Hunt) запустил сервис для проверки безопасности своего пароля. После ввода комбинации инструмент ищет её по базе из 306 миллионов взломанных и «скомпрометированных» паролей.

0
22 комментария
Популярные
По порядку
Написать комментарий...
Легендарный рубин

Так вот какого человека мне нужно ненавидеть за постоянную смену цифр в моем пароле на рабочем компе.
И конечно relevant xkcd https://xkcd.com/936/

7
Легендарный рубин

Б - 6ez0pa$n0$t'

2
Легендарный рубин

Может, TouchID вкупе с Keychain нас всех спасет?

0
Легендарный рубин

Уж найти твои отпечатки проще, чем десятилетиями брутфорсить пароль

6
Легендарный рубин

Найти и забрать.

0
Легендарный рубин

2017-й год... полезные советы сводятся к использованию lastpass и 1password

0
Легендарный рубин

Lastpass - шесть взломов за восемь лет, не закрываемые годами багрепорты, низкая культура кода исходя из анализа доступного кода фронтенда и плагинов. Нет, спасибо.

Keepass - наше всё.

2
Легендарный рубин

Пароли пользователей lastpass взломаны не были. Что говорит скорее в пользу lastpass.

1
Легендарный рубин

не все взлом, что СМИ так обозначило.
Но конечно локальное хранение безопаснее. Но неудобно без синхронизации. Ибо тот же Dropbox для синхронизации keepass также ничем не защищён. А в плане шифрования - все сервисы шифруют локально, LastPass тоже. На серверах хранятся шифрованные данные

0
Легендарный рубин

А зачем защищать файл базы данных keepass? Он уже защищён. Так что пофигу, защищён дропбокс или нет.

1
Легендарный рубин

"все сервисы шифруют локально, LastPass тоже." - это вот к этому было сказано. зачем думать о защите серверов LastPass, если данные которые там лежат уже зашифрованы?

1
Легендарный рубин

А, я не правильно понял. Всё ок.

1
Легендарный рубин

Да, но нет. Как раз в локальном шифровании в плагине к хрому у lastpass был баг, который приводил к уязвимости зашифрованных данных и лёгкому подбору пароля. Щас под рукой нет ссылки, но на это был длинный разбор на stakoverflow. Так что нет, даже с локальным шифрованием.

1
Легендарный рубин

Таких уязвимостей, вроде потенциальных heartbleed дофига. Но жёстких сливов паролей пользователей не было у LastPass.

0
Легендарный рубин

Keepass забыли

1
Легендарный рубин

Комментарий удален по просьбе пользователя

0
Легендарный рубин

И дерево :–)

3
Легендарный рубин

Qwerty123456

0
Легендарный рубин

Помню как у нас сисадмин любил такой хуйней заниматься))
Он все делал, чтобы каждый твой заход rdp был сложнее с каждым разом
pAs$vv0rD

1
Легендарный рубин
0
Легендарный рубин

наибать?

1
Легендарный рубин

Говорят вам: ведущие европейские специалисты - значит ведущие! :-D

0
Читать все 22 комментария
null