Пароль это атавизм с тех времен, когда компьютеры были большими, а программы маленькими. В то же время, длина пароля, как и любого блока хранимых и обрабатываемых данных, была ограничена: либо по объективным программным или аппаратными причинам, либо в силу исторических обстоятельств. Например, выделили "мало места" под пароль в БД, понастроили вокруг нее кучу софта, и теперь уже поздно что-то менять.
Поэтому, если вы в энтерпрайзе или в личной жизни используете такие
Давайте рассмотрим вопрос под углом зрения атакующего. Есть целая уйма советов о том, как составить сложный (и при этом не очень длинный) пароль. Практически все эти советы морально устарели с приходом в нашу жизнь распределенных вычислений, условно называемых "облака".
- Пароль должен быть не короче 8 символов. Это провал. Если вы хотите достичь хоть какого-нибудь преимущества над атакующим, пароль должен быть значительно длиннее при условии выбора его символов из не менее обширного алфавита. Время (и деньги) брутфорса пресных хешей в наше время исчисляется десятками часов и сотнями долларов. Если овчинка стоит выделки, злоумышленники готовы потратить и то, и другое.
- В пароле должны присутствовать буквы в разных регистрах, цифры и специальные символы. Жесть. Зачем мне в пароле закорючки, если он состоит из 64 цифр и букв? Сила любого самого изощренного пароля от величины алфавита зависит линейно (точнее, полиномиально, -- спасибо, Саша), а от длины -- экспоненциально. Поэтому все эти изыски -- они для людей, работающих с AS/400, другой причины их применять я не вижу.
- Еще одно, пароль нужно периодическименять. Пароль это ключ, он позаимствован индустрией из криптографии. А любой криптограф вам подтвердит, что ключ нужно менять не "периодически", а в зависимости от частоты его использования, то есть, предъявления. Да, доменные пароли заслуживают частой смены, потому что используются в среднем несколько раз в день, предъявляются по не всегда достаточно защищенным протоколам (NTLMv1, MS-CHAP, HTTPS со слабыми шифрами et al.) Но зачем часто менять пароли на сайтах, на которых вы бываете раз в год, или в социальных сетях, которые у вас его просят предъявить раз в три месяца? Я меняю пароли только на важных сайтах и раз в год, или -- в случае утечки.
- Пароли везде должны быть разными и при этом их нельзя записывать. Бред, как можно такое реализовать, если у вас есть потребность входить с паролем в более 100 систем? Еще один признак атавизма. Пароли нужно записывать и хранить в защищенном месте: зашифрованной базе данных. Благо, софта для этого развелось предостаточно.
- И наконец мое самое любимое: пароль не должен содержать слов из словаря. Это жесть. Вот этим мы пользователя и добили.
В общем, друзья мои, мы с вами успешно создали условия, в которых пользователю ничего не остается, как записать все свои причиндалы на стикерах и вывесить на мониторе. А все почему? А потому, что руководствуемся мы какими-то мифическими рекомендациями международных стандартов, а не здравым смыслом и логикой.
А вот если бы мы действительно хотели, чтобы наши пользователи были одновременно защищены, и не страдали при этом от парольной усталости, мы бы научили их выбирать пароли на основе не слов, а значащих фраз (выстрел по длине), в которых слова немного видоизменены с использованием цифр и знаков (удар по сложности и "словарности"), а также провели бы пару "мастер-классов" о том, как пользоваться "парольными хранилками". (Кстати, о трансформации "небезопасных" слов из словаря, научите юзеров литспику, они за одно перестанут на вас глазеть, как на ненормальных, каждый раз, когда нам встречается комбинация 1337 на циферблатах часов или госномерах).
 |
| Прекрасная иллюстрация от XKCD ( http://xkcd.com/936/) |
