Закон і Бізнес


Змініть пароль!

Правила створення надійних паролей виявилися помилковими


28.08.2017 14:55
Павло Лось
2676

Те, що ми до цих пір знали про надійні паролі для акаунтів в Інтернеті, виявилося помилкою. Це визнав навіть той експерт, який придумав всі нинішні правила.


Краще забути

Невже це сталося і з вами? Ви знову забули той надскладний пароль, який вам довелося придумати на вимогу вашого комп'ютера в офісі або якого-небудь онлайн-сервісу, в якому у вас аккаунт? Цей новий пароль від вас вимагають кожні 90 днів, та ще й вимагають різні його параметри: не менше 8 знаків, використання регістра (великі та малі літери), використання цифр і символів на кшталт!? / _ * І інших?

Вважаємо, що відповідь буде "так", так як забутий пароль - це те, що трапляється сьогодні з мільйонами користувачів по всьому світу. За винятком тих, хто має звичку записувати пароль на папірці або придумувати "оригінальні" паролі на кшталт 12345678. Але і те, і інше є вже зовсім великою недбалістю в наш час хакерів і кіберзлочинності. Вже краще тоді іноді забувати складні паролі, кажуть експерти з комп'ютерної безпеки.

Покаяння автора "парольного божевілля"

Але в серпні 2017 року відбулася подія, яка може кардинально змінити ситуацію. Інтерв'ю американському виданню Wall Street Journal дав 72-річний Білл Бурр, який і є ідеологом правил створення надійних паролів, що використовуються зараз у всьому світі. Він працював в NIST - Національному інституті стандартів і технологій США - і в 2003 році написав циркуляр під номером 800-63-3, де і сформулював діючі понині рекомендації до безпеки паролів. Циркуляр був прийнятий американськими державними структурами, потім приватними компаніями в країні - а потім розійшовся по всьому світу.

Але ось тільки деякі положення документа "були невірними", прямо і відверто заявив тепер Бурр в інтерв'ю. Він визнав, що не мав на той момент достатніх даних, і у відповідях на деякі питання йому довелося спиратися на дослідження 1980-х років. Частина рекомендацій, що містяться в цих роботах, здалися йому розумними - начебто, використовуйте символи і частіше міняйте паролі. У підсумку ці поради перекочували в його циркуляр від 2003 року.

Зараз експерт чесно заявляє: "Я дуже шкодую, що звалив на користувачів все це. Нам потрібно було тоді постаратися і спробувати вгадати те, що ми досвідченим шляхом з'ясували дещо пізніше".

"Пароль123"

Багато фахівців, в принципі, з розумінням поставилися до покаяння Бурра - але закликали його не драматизувати. Як нагадав портал Naked Security, присвячений питанням комп'ютерної безпеки, в 2003 році, в еру вибухового зростання онлайн-сервісів, навіть не зовсім вірні тези Бурра зіграли величезну роль. Вони, наприклад, змусили безліч людей вперше задуматися про надійність своїх акаунтів і змінити свої примітивні паролі на кшталт "Пароль123" на трохи більш просунутий "П@роль123!".

Але, в цілому, з переглядом принципів циркуляра Бурра в галузі згодні. Так, представники NIST підтвердили, що за минулі після його публікації 14 років вони проаналізували безліч баз даних з розкритими хакерами акаунтами користувачів - і в підсумку прийшли до нових висновків. Вони сформульовані в новому документі, який оприлюднив Національний інститут стандартів і технологій і який поступово повинен впроваджуватися в галузі.

Геть символи!

Новий циркуляр не скасовує всі принципи Бурра, тільки частина з них. Наприклад, міф про надійність паролів з символами (!? / _ * та іншими). Справа в тому, що злом паролів хакери здійснюють не вручну, а за допомогою програм - а для них абсолютно все одно, який знак (буква, цифра або символ) використаний в паролі. У підсумку символи анітрохи не підвищують надійність, зате додають головного болю користувачам і роблять паролі такими, що частіше забуваються.

Другий міф - необхідність міняти паролі кожні 90 днів. Особливо часто це потрібно в офісах, але в реальності призводить не до підвищення безпеки, а до зниження. Як показує статистика, змучені постійними змінами паролів користувачі з часом починають придумувати все більш примітивні комбінації знаків, а то і взагалі записувати їх де-небудь. Чим так, вже краще придумати надовго один хороший і складний пароль, кажуть сьогодні експерти. Єдиний виняток - це злом системи, після якого всім в офісі, звичайно, треба міняти паролі.

Довгий пароль - це добре

А ось стара рекомендація, що пароль має бути довгим, що не втратила своєї актуальності. Більш того, запропоновані нині 8 знаків - це мало, розповів німецький комп'ютерний експерт Штефен Хашлер (Steffen Haschler) в інтерв'ю телерадіокомпанії SWR. Надійніше паролі від 10 до 20 знаків. Причому найкраще вибрати звичайну фразу, яку буде легко запам'ятати користувачеві, і трохи її модифікувати. Наприклад, "В лесу родилась елочка", де замість пробілів вставляти, скажімо, цифри по числу букв в попередньому слові: "В1лесу4родилась8елочка6". (Тільки конкретно цю комбінацію використовувати вже не треба: хороший пароль треба придумувати самому, а не брати в інтернеті).

І ось чого ще категорично не варто робити - це використовувати один і той же пароль (нехай і надійний) для різних акаунтів. Як вважає Хашлер, це навіть важливіше, ніж надійність пароля як така. Адже якщо хакерами буде розкрита хоча б одна система, в якій користувач має обліковий запис, це відразу означає компрометацію всіх наявних у нього акаунтів.

DW