21 Октября, 2012

Пароль не нужен

InfoWatch
Парольная авторизация придумана для людей. Поэтому хранить свой парольв браузере, клиенте электронной почты или ещё где – нелогично. Нельзя сказать, что это нарушает политику безопасности или снижает защиту. Вполне возможно, что не нарушает и не снижает. Только если "запоминать" не человеческой головой, а компьютером – то это уже не парольбудет, а "preshared key", и у него совсем иные свойства должны быть.

У "человечного" паролясвойства какие? (а) Держать в голове. (б) Вводить с клавиатуры. Ради этих свойств мы жертвуем длиной и разнообразием символов. А та секретная последовательность, которая предназначена для хранения в клиентской программе, вовсе не должна этим жертвовать. Разделяемый ключдолжен: (1) сразу иметь максимальную длину, (2) состоять из произвольных байтов и (3) не быть единственным для аккаунта.

Ныне большинство ресурсов используют именно пароль, то есть неявно подразумевают, что пользователь будет держать его в голове, а вводить руками при каждой авторизации. Ёмкость памяти хомо сапиенса и некоторые его ментальные свойства никак не позволяют этого делать. Два-три важных пароля самые добросовестные из нас действительно помнят. Остальные сто сорок девять – извини-и-ите. А если так, от большинства паролейследует отказаться.

Следует заменить их на машинный разделяемый ключтакой длины, чтоб исключался его подбор и обращение хеша. И у каждого пользователя может быть несколько ключей от одного аккаунта – по одному для каждого компьютера, с которого он соединяется. В случае компрометации каждый из них может быть сменён независимо от других. Держать свои ключи (бывшие пароли) в браузере – вовсе не западло; для большинства ресурсов риск при этом более чем приемлемый. Только давайте делать это более логично.

или введите имя

CAPTCHA
Nikolay
22 Октября, 2012
А есть ли смысл в создании большого и длинного пароля, если он все равно будет храниться в браузере?
0 |
nscl
4 Ноября, 2012
Имеет. Браузерное хранилище паролей - ещё вскрыть надо, а для этого надо доступ к машине. Одно дело - вскрыть учетку попутно при брутфорсе по словарику, где был пароль 123456 и совсем другое - пробить машину и вытащить браузерные пароли.
0 |