• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Новости

    Старые правила создания паролей оказались неэффективными

    Сегодня даже ребенок знает, что надежный пароль должен состоять как минимум из букв, цифр и нескольких спецсимволов. Эти правила были написаны в 2003 году и до последнего времени их придерживались как госслужащие, так и крупные компании. Однако выяснилось, что наборы знаков типа p@s$W0R# оказались крайне не эффективными и небезопасными. Попробуем разобраться, как придумать надежный пароль и защитить себя от действий киберпреступников.

    Билл Бурр, занимающий должность менеджера института NIST в Соединенных Штатах, описал на восьми страницах советы, с помощью которых можно придумать действительно надежный и безопасный по всем параметрам пароль. В документе отмечено, что пароль должен содержать комбинацию спецсимволов, строчных и заглавных букв, а также пунктуации. При этом важно периодически менять кодовое слово, дабы запутать хакеров и усложнить возможность подбора. Это произошло 14 лет назад, и сегодня выяснилось, что рекомендации могут не совсем соответствовать замыслу. В одном из интервью 72-летний автор рекомендаций отметил, что он сожалеет о большей части всего, что сделал.

    По задумке Бура, правила призваны привнести случайность в формирование кодовых слов. К сожалению, они привели к появлению сотен однотипных «секретных» паролей типа Qwerty!1 или Monkey1$.

    Старые правила создания паролей оказались неэффективными

    Проблема удобства применения – вот основной минус, связанный с использованием разных регистров и спецсимволов. Подобные последовательности достаточно трудно запоминаются людьми, поэтому их формируют по простым правилам. В процессе подбора хакеры без особых преград пользуются алгоритмами, созданными на основе таких правил. Совет менять пароль каждый 45-90 дней тоже не сработал. Люди по своей сущности ленивы, и вместо того чтобы придумать совершенно другую комбинацию, они меняли один спецсимвол на другой, что предугадать также несложно.

    Созданные Буром рекомендации переписали полностью в июне этого года. Первоначально специалисты хотели внести лишь пару правок, но писать пришлось с самого начала.

    Таким образом, от разных регистров и спецсимволов пришлось отказаться. Регулярное изменение пароля также не дает особого эффекта – по мнению экспертов, кодовые слова нужно заменять только в случае если были скомпрометированы текущие.

    Если вам интересно, как придумать надежный пароль, воспользуйтесь несвязанным набором слов, которые будет не сложно запомнить. Сотрудники NIST утверждают, что в 2017 году пароль, неподвластный злоумышленникам, должен выглядеть следующим образом: «кукурузасинусколесомедуза». 4 случайных слова будет намного взломать, нежели 8-значный пароль со спецсимволом. Выяснилось, что чем больше количество букв, тем сложнее проводить подбор. Кодовые слова, сформированные по правилам Бурра, подбираются за 3 дня, а для дешифровки набора символом, созданных согласно новым рекомендациям, нужно 550 лет.

    Как видим, комикс, созданный художником Р. Манро в 2011 году, является достаточно актуальным: «За 20 лет мы научились придумывать сложные для запоминания пароли, которые компьютеры могут быстро предугадать».