Любой Интернет-пользователь, который хотя бы раз пробовал создать учетную запись, знает известные рекомендации для надежного пароля: вы должны использовать хотя бы одну заглавную букву, символ и цифру…
Однако, по мнению специалистов Национального института стандартов и технологий (National Institute of Standards and Technology, NIST), некоторые из этих требований не то, чтобы не полезны, но и иногда и наоборот.
11 мая 2017 года NIST выпустил новые рекомендации для специалистов в области безопасности, где советует пересмотреть некоторые из устоявшихся требований при создании надежного пароля.
К примеру, оказалось, что известная рекомендация по включению в пароль заглавной буквы, цифры и символа несколько переоценена. NIST поясняет, ранее такое составление пароля обеспечивало его сложность, но последний анализ существующих баз паролей показал, что польза от этого не так значительна, как предполагалось, тогда как вводить и запоминать сочетание довольно непросто.
В качестве символов в подавляющем большинстве паролей используются «#» и «&», и польза от них сильно преувеличена. Вместо этого NIST рекомендует придумывать пароль не менее, чем из 8 символов.
Проблема в том, что независимо от выбранного пароля его нужно сверять со списком распространенных, ведь даже, если пароль суперсложный, но не уникален, то есть часто используется, то он небезопасен. И эта задача должна выполняться службой, где вы хотите создать аккаунт.
Также NIST опровергает рекомендацию, которая здорово раздражает значительную часть пользователей, а именно, независимо от того были попытки взлома баз данных, или их не было, но через определенные промежутки времени пароль нужно менять. В некоторых случаях это действие оказывало обратный эффект. Конечно, если компания обнаруживает, что ее базы были взломаны, то пароль вы должны изменить обязательно, но в противном случае, это может даже навредить.
Эксперты из NIST также затронули тему вопросов безопасности. Некоторые из них, к примеру: «Какую школу вы заканчивали» вообще не имеют смысла, так как подобную информацию можно найти просто воспользовавшись поисковиком, а другие «Как звали ваше первое домашнее животное» являются секретной информацией и сохранять ее нельзя.
В итоге выходит, что практически все распространенные советы по созданию безопасного пароля, не так оправданы, как считалось ранее, но один из них все же остается как никогда актуальным: везде, где это возможно, включайте двухфакторную аутентификацию.