+11 голос |
Згідно з новими рекомендаціями з цифрової ідентифікації від NIST (Національного інституту стандартів і технологій США) багаторічна практика використання складних паролів з комбінацією різних типів символів та регулярна їх зміна визнана малоефективною. Натомість тепер пропонується віддавати перевагу довгим паролям, які користувачу легше запам’ятати.
Багато років вважалося, що для надійності паролі мають бути максимально складними, містити великі та малі літери, цифри та спеціальні символи. Передбачалося, що такі паролі буде складніше вгадати або зламати шляхом перебору за допомогою спеціальних програм. Однак з часом експерти дійшли висновку, що надмірна складність паролів з ряду причин призводить до зворотного ефекту.
По-перше, оскільки користувачам важко запам'ятовувати складні паролі, часто вони починають використовувати один і той самий пароль на різних сайтах або вигадують надто просту комбінацію символів, аби відповідати мінімальним вимогам. Прикладом може слугувати пароль на кшталт P@ssw0rd123, який технічно відповідає умовам складності, але легко вгадується.
По-друге, вимога змінювати паролі кожні 60-90 днів, яка раніше була поширеною практикою в багатьох організаціях, також часто тільки погіршувала ситуацію, оскільки призводила до створення менш надійних паролів через необхідність їх частої зміни. Тому тепер фахівці рекомендують відмовитися від складних паролів на користь довгих. І ось чому.
Надійність пароля часто вимірюється ентропією, що є мірою непередбачуваності. Іншими словами, кількістю можливих комбінацій, які можна створити за допомогою символів у паролі. Чим більша кількість комбінацій, або ентропія, тим складніше зловмисникам зламати пароль за допомогою методів грубого перебору або вгадування. І хоча складність пароля може збільшувати ентропію, довжина пароля на основі простих символів, як з'ясувалося, відіграє важливішу роль. Довший пароль має експоненціально більше можливих комбінацій, що ускладнює зловмисникам підбір, навіть якщо самі символи простіші.
Тому тепер NIST пропонує використовувати довгі паролі, які легко запам'ятати, зокрема, фрази з кількох простих слів. Скажімо фраза на кшталт «big dog small rat fast cat purple hat jello bat» за вирахуванням пробілів у вигляді «bigdogsmallratfastcatpurplehatjellobat» є одночасно достатньо безпечним і зручним варіантом для користувача. Такий пароль забезпечує баланс між високою ентропією і простотою використання, що допомагає уникнути небезпечних звичок, як-от записування паролів або повторне їхнє використання.
Всього лише заміна чотиризначного пароля на шестизначний збільшує кількість можливих комбінацій підбору символів з 10 тисяч до мільйона. Зважаючи на це сьогодні NIST рекомендує компаніям дозволити користувачам створювати паролі довжиною до 64 символів. Такий довгий пароль, навіть якщо він складається тільки з малих літер і знайомих слів, буде надзвичайно складним для злому. А якщо додати до нього великі літери та символи, злам такого пароля стане практично неможливим. Таким чином, у нових рекомендаціях NIST робить акцент на довжину пароля як головний фактор його безпеки.
Про DCIM у забезпеченні успішної роботи ІТ-директора
+11 голос |