Пароль умер? Да здравствует пароль!

Пароль умер? Да здравствует пароль!

Много лет подряд сообщество специалистов по безопасности требовало от пользователей ужасающе сложные пароли. Вы и сами знаете, к чему это приводило. Пароли записывали на мониторах, бумаге рядом с монитором, под клавиатурой, в ящиках стола. Много лет подряд специалисты по безопасности высмеивали обычных пользователей, жалуясь на то, что они просто не могут запомнить пароли. Но на самом деле эти же специалисты сами не всегда могли запомнить свой пароль и часто использовали либо один и тот же, либо его вариации.

Надежные пароли настолько просты! Все, что вам нужно, это 12 символов, один символ верхнего регистра, один символ нижнего регистра, одна цифра, один символ и ничего о вас не известно. Затем меняйте все свои пароли каждые девяносто дней. О, мы упоминали, что у вас должен быть уникальный сложный пароль для каждой учетной записи и никогда, никогда не записывать его. Что может быть проще?

В течение многих лет люди и организации, такие как Пер Торсхайм и его Passwords Con , доктор Кормак Херлидоктор Анджела Сассе   и  Национальный центр кибербезопасности Великобритании   , боролись против этого. Наконец, это болезненное поведение было прекращено NIST в своей официальной публикации SP800-63-3 Digital Identity Guidelines. Они охватывают пароли в разделах 5.1.1.1 , 5.1.1.2 и Приложение А . Короче говоря, утверждает NIST.

Поначалу это может показаться неважным, но эти изменения огромны. Фактически в пароль привносится здравый смысл. Вместо того, чтобы пытаться сосредоточиться на том, что является академически ИДЕАЛЬНЫМ паролем, мы принимаем во внимание человеческий фактор. Слишком часто безопасность дает сбой, потому что мы забываем об участии людей. Сложные пароли не только сложно запомнить, но и отнимают много времени и болезненно вводить вручную. На самом деле,  Wall Street Journal опубликовал увлекательную статью на фоне оригинального мышления NIST и о том, как первоначальные авторы теперь понимают, насколько сложен сложный пароль. Еще более болезненно, когда вы требуете от людей регулярно менять эти сложные пароли. Самыми большими противниками этих изменений, скорее всего, будут высокотехнологичные специалисты по безопасности, которые постоянно забывают, что люди являются частью безопасности любой организации, а также определенных правил или стандартов, которые по-прежнему требуют сложности паролей и / или регулярной смены паролей, таких как NERC CIP-007. -6 R5.

Alt text

Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.

Владимир Безмалый

О безопасности и не только