Миф № 1
Для надежности достаточно варьировать регистр букв и добавлять числа и специальные символы
Правда: уровень безопасности, обеспечиваемый сложными паролями, ограничен. Да, letmein – неудачный пароль, но Password1, Abc123 и Passw0rd – не лучше, несмотря на смешанный регистр и цифры. Пользоваться паролями на основе простого слова в любом случае неудачная идея: взломщики паролей умеют перебирать разные варианты написания слов и словосочетаний, вроде vuln3rabl3 и trustno1. Справедливости ради отметим, что смешанный регистр, числа и спецсимволы значительно усиливают пароль по сравнению с написанным целиком в нижнем регистре.
Но, если используемая в качестве пароля строка не представляет собой действительно случайную последовательность символов, не помогут ни смешанный регистр, ни числа со спецсимволами. То есть, если нажимать клавиши, расположенные рядом, или использовать другие простые последовательности, эффективность метода сводится на нет.
Миф № 2
Хороший пароль должен быть очень длинным
Правда: более длинные пароли, конечно, надежнее, но 8-12 символов – вполне достаточно. Короткие пароли, действительно, взламываются перебором гораздо быстрее. На современном компьютере 8-символьный пароль с буквами разного регистра и числами взламывается за 5,88 года, а на мощном ботнете – за 31 минуту. А вот если увеличить длину пароля всего на два символа, то такому ботнету уже понадобится 83 дня. А 10-символьный пароль с буквами, числами и специальными символами, что-нибудь вроде %ZBGbv]8g?, компьютер будет взламывать 289 217 лет, ботнет – 3 года. На взлом пароля длиной 40 знаков смешанного регистра уйдет больше 1000 лет.
Но нужно еще принять во внимание модель угрозы. Если больше всего беспокоит, что кто-то взломает базу и украдет хеши, то максимально длинные и сложные пароли – лучший способ защиты. Но в компаниях больше всего боятся вероятности многократного использования паролей и атак фишинга, а в этом отношении длина пароля не особенно важна. Если злоумышленник уже получил сам пароль с помощью фишинга, то неважно, сколько в нем символов – 8 или 50. Копирование, вставка – и в вашем аккаунте чужак. А если от пользователей требуют вводить 20-символьные пароли, но при этом диспетчеры паролей не применяются, то пароли будут использовать многократно.
Важно также, что именно защищается. Если речь идет о компьютере в районной библиотеке, то 8-символьного пароля вполне достаточно. А если о сервисе, в котором хранится полная история ваших финансовых операций, то более длинный пароль – необходимость. Не пользуйтесь одними и теми же паролями, не поддавайтесь на фишинг, и для многих аккаунтов 8-символьных паролей будет достаточно.
Еще проблема: пароли могут быть настолько длинными, что проще пользоваться функцией восстановления и сбрасывать пароль путем ответа на «секретный вопрос». А взломщику гораздо проще выяснить кличку вашего домашнего животного, чем угадать ваш пароль.
Миф № 3
Никогда не следует записывать пароли
Правда: записывать свои пароли на бумажке – не самый страшный грех. На самом деле главное – не наклеивать на монитор стикер с пометкой «мой новый пароль от онлайн-банка». Если вы записали новый длинный сложный пароль и носите его в бумажнике, пока хорошенько не запомните, – это нормально. Более того, записывайте самые важные пароли и храните в сейфовой ячейке, чтобы в случае чего близкие смогли получить к ним доступ.
Миф № 4
Обязательная периодическая смена паролей повышает безопасность
Правда: так только повышается вероятность того, что пользователи будут выбирать слабые пароли. Требование регулярной смены паролей было одним из главных элементов корпоративных политик безопасности до недавнего времени. Обязательная смена паролей имеет смысл, если существует опасность утечки паролей. Когда у организации есть подтверждение того, что пароли скомпрометированы, то принуждать к их смене нужно. Но менять пароли только потому, что прошло определенное число дней? Смысла в этом нет.
Политики составления паролей нужно делать менее сложными, поскольку иначе пользователям труднее выполнять свои рабочие обязанности и повышаются расходы на обеспечение выполнения правил. Хотя смена паролей, казалось бы, хорошая идея, на самом деле пользователям так труднее запоминать очередной, и они начинают применять одни и те же пароли или легко угадываемые закономерности.
− Fahmida Y. Rashid. Want stronger passwords? Understand these 4 common password security myths. CSO. October 3, 2017