Технологии
Женя Кузьмин

Обратная сторона «безопасных» паролей

Автор руководства по созданию паролей спустя 14 лет признался, что его советы сделали комбинации «более предсказуемыми».

Бывший сотрудник Национального института стандартов и технологий США (NIST) Билл Бёрр (Bill Burr) рассказал изданию The Wall Street Journal, что жалеет о созданном во время работы в агентстве популярном руководстве по выбору безопасного пароля. Дело не в том, что он предлагал уязвимые комбинации: по мнению 72-летнего специалиста, после его советов пользователи стали использовать слишком предсказуемые пароли.

Бёрр выпустил восьмистраничный документ с рекомендациями в 2003 году. Согласно предложенным им правилам, пароль должен был содержать не только легко запоминаемые слова, но и символы и знаки препинания. Также пользователям советовали менять комбинацию каждые 90 дней. По данным The Wall Street Journal, рекомендации NIST стали основными для многих федеральных агентств и крупных компаний.

В результате появились пароли вроде «P@ssW0rd123», однако они не стали безопаснее. Многие люди использовали одинаковые техники, что упростило работу хакерам. По словам специалистов, созданную по правилам Бёрра комбинацию «Tr0ub4dor&3» можно взломать за три дня, потому что логика замены букв на символы слишком легко просчитывается.

Бывший сотрудник NIST подчеркнул, что совет менять пароль каждые три месяца сделал ситуацию ещё хуже. Пользователи ленились запоминать новые комбинации, поэтому «Pa55word!1» через 90 дней превращался в «Pa55word!2».

Сейчас я жалею о многом из того, что советовал.​

Билл Бёрр

В июне 2017 года в NIST представили новый документ по созданию безопасного пароля. По словам автора нового руководста Пола Грасси (Paul Grassi), изначально планировалось просто подредактировать старый вариант, но в итоге его пришлось переписывать с нуля. В новых правилах советуют использовать целые фразы и менять их только в случае взлома или утечки. Специалисты подчеркнули, что на подбор таких паролей уйдут десятилетия.

Несмотря на небезопасность старых рекомендаций, Грасси похвалил работу ушедшего на пенсию Бёрра. Он понадеялся, что его вариант документа тоже сможет стать стандартом на ближайшие 15 лет.

В августе 2017 года разработчик Microsoft Трой Хант (Troy Hunt) запустил сервис для проверки безопасности своего пароля. После ввода комбинации инструмент ищет её по базе из 306 миллионов взломанных и «скомпрометированных» паролей.

#технологии #безопасность