Мнемонические пароли

Сложные пароли не только долго подбирать, но и трудно запомнить. Причем компьютеры становятся все быстрее, а память у людей с развитием технологий только ухудшается. Возможно поэтому теперь Национальный институт стандартов и технологий (NIST) рекомендует использовать в качестве пароля фразы из не связанных по смыслу слов, которые легко запомнить благодаря мнемонике.

Четырнадцать лет назад сотрудник NIST Билл Бёрр опубликовал доклад, впоследствии ставший справочным руководством по созданию безопасных паролей – NIST Special Publication 800-63. Appendix A. Руководство содержало две основные рекомендации. Первая: пароли должны представлять собой комбинацию из цифр, заглавных и прописных букв, а также специальных символов. Вторая: пароль необходимо менять каждые 90 дней. Многие компании, в том числе производители ПО, взяли эти принципы на вооружение и запретили пользователям применять пароли, которые не отвечали этим требованиям. Однако со временем он признал, что это не сильно помогает.

В тех случаях, когда пароли не должны соответствовать рекомендациям NIST, пользователи зачастую используют легко запоминающиеся (и также легко взламываемые) пароли, такие как «123456», «111111» или «password». Но проблема выходит за рамки этого. Даже если следуя логике Бёрра конвертировать «password» в «P @ ssw0rd!», все равно он остается легко взламываемым паролем. Поскольку кибер-преступникам тоже несложно повторить эту цепочку преобразований.

Сравнительно недавно NIST обновил принципы цифровой идентификации. Теперь по мнению специалистов данного института, ключ к безопасному паролю – это использование сложных фраз со словами, которые несложно запомнить.

В верхней строке показан пароль с буквенно-цифровыми символами, заглавными буквами и специальными символами (по сути, это «идеальный пароль» с точки зрения прежней методики), который очень непросто запомнить, но он может быть подобран примерно за трое суток. Нижняя строка показывает, как фраза из четырех слов увеличивает время для подбора пароля до 550 лет.

Поэтому возможно настало время сменить политику паролей в вашей компании. Одна из причин, почему многие сотрудники ставят под угрозу безопасность компании, – это выбор легко запоминающегося пароля, который также можно легко взломать. Иногда оказывается, что некоторые пароли, которые очень сложно запомнить, также можно достаточно легко подобрать. В свою очередь новый способ создания паролей сочетает в себе простоту и безопасность.

Кроме того, в новых рекомендациях NIST не рекомендуется регулярно менять пароли, а делать это скорее в случае крайней необходимости (например, после какого-то инцидента безопасности). Причина кроется в том, что пользователи скорее всего пойдут по пути наименьшего сопротивления и сделают лишь небольшие изменения в пароле, фактически сводя на нет все преимущества от изменения пароля. Более того, необходимость регулярно просить и даже требовать смены пароля может способствовать развитию «усталости от безопасности» среди сотрудников – это все более распространенная проблема среди всех видов компаний.

Впрочем, зачем подбирать пароли, когда можно одним махом умыкнуть миллиарды паролей или украсть их посредством вирусов? С другой стороны даже плохонький замок всяко лучше открытых настежь дверей.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365