Повторное использование одних и тех же паролей традиционно критикуется специалистами по безопасности. Причина понятна: утечка учётных данных с одного сайта ставит под угрозу безопасность на остальных сайтах, где пользователь ввёл тот же пароль. Стандартная рекомендация: использовать парольный менеджер и генерировать уникальные пароли для каждого ресурса.
Исследователи из Microsoft бросили вызов сообществу ИБ. В опубликованной ими научной работе приводятся советы по управлению портфелем из большого количества паролей. Оставив в стороне парольные менеджеры, исследователи пришли к выводу, что использование слабых паролей на большинстве «бесплатных» сайтов с малозначимым контентом — необходимое условие для того, чтобы пользователь запомнил пароли с высокой энтропией на действительно важных ресурсах.
«Стремительное снижение [энтропии паролей, в то время как сложность запоминания] увеличивается, предполагает, что повторное использование паролей — необходимый и разумный способ управления парольным портфелем, — сказано в научной статье. — Повторное использование допустимо, если сложность должна оставаться выше некоторого минимума, а усилия по запоминанию — ниже некоторого максимума».
Слабые пароли можно использовать для «мусорных» сайтов, к которым применяется подход «взламывай на здоровье», и потеря учётных данных к которым не может нанести практически никакого ущерба пользователю.
