В любой компании и у любого специалиста по ИБ есть свой набор правил в отношении паролей. Пароль должен быть уникальным, длинной не менее 6/8 символов, включать строчные и заглавные буквы/цифры/спецсимволы и меняться каждые 30/60/90 дней.
Редко где эти правила соблюдаются, однако приказ есть приказ, и служба ИБ начинает активно "пилить" нерадивых пользователей...
Дам ка и я пару советов...
name='more'> 1. Пароль Windows может быть любой длинны и из любых символов. Всё равно его взломают.
Сегодня механизмы хэширования паролей в Windows настолько хорошо изучены, что не составляет никакой сложности подобрать даже длинный и комплексный пароль. Есть радужные таблицы, есть подбор на GPU, есть облачные сервисы , во многих случаях пароль можно просто обойти , получить в открытом виде , или в подборе нет никакой необходимости .
В других системах все обычно тоже плохо. Например вот такие пароли сайта linkedin были взломаны за несколько часов: P4ss10n, 0ldfr1ends, Pa33w8rd, jiujitsu13!@, spac3gh0st..
2. Можно использовать один и тот же пароль много раз.
Запомнить 40 разных постоянно меняющихся паролей может только.. киборг! Придумайте любимый пароль для работы, для личной почты и для банка. В остальных случаях используйте "1234567890".
Для стойкой системы аутентификации стандартом стало использование аппаратных идентификаторов, отпечатков пальцев, двухфакторной аутентификации, паролей по смс и т.д. Пароль в таких системах обычно самый ненадежный фактор.
3. Хороший пароль НЕ получается из русского слова, набираемого в английской раскладке.
Да, это будет хороший пароль, пока в один прекрасный день вам не предложат его набрать с телефона (планшета)... Да и все нормальные программы подбора паролей уже давно знают этот трюк.
4. Пароль НЕНУЖНО постоянно менять.
А домашний замок вы часто меняете? Помните, задача службы ИБ не мешать людям работать, а помогать!
Стойкость паролей складывается из многих факторов, таких как:
- выбранный криптографический алгоритм хэширования и его реализация;
- надежность хранения и передачи хэшей;
- надежность хранения пароля на стороне пользователя в течении сессии;
- проверка подлинности ресурса на стороне клиента (защита от фишинга);
- и др.
Поэтому грамотная парольная политика должна быть всегда комплексной ("клиент-серверной") и обязательно находить компромисс между безопасностью и комфортом работы с системой, о котором постоянно забывают.
Что еще почитать?
- Как безопасно использовать один пароль на всех сайтах
- [Перевод] Киберубийство
- Будущее парольной защиты
- Такой забавный Unicode
- Про пароли, BitLocker и криогенный криптоанализ
- Мои круги (про пароли)
PS Картинка в заголовке поста - скрипт Naked Password ( github ). Чем сложнее пароль - тем меньше одежды на девушке ;).
