000Повторное использование одних и тех же паролей традиционно критикуется специалистами по безопасности. Причина понятна: утечка учётных данных с одного сайта ставит под угрозу безопасность на остальных сайтах, где пользователь ввёл тот же пароль. Стандартная рекомендация: использовать парольный менеджер и генерировать уникальные пароли для каждого ресурса.

Исследователи из Microsoft бросили вызов сообществу ИБ. В опубликованной ими научной работе приводятся советы по управлению портфелем из большого количества паролей. Оставив в стороне парольные менеджеры, исследователи пришли к выводу, что использование слабых паролей на большинстве «бесплатных» сайтов с малозначимым контентом — необходимое условие для того, чтобы пользователь запомнил пароли с высокой энтропией на действительно важных ресурсах.

«Стремительное снижение [энтропии паролей, в то время как сложность запоминания] увеличивается, предполагает, что повторное использование паролей — необходимый и разумный способ управления парольным портфелем, — сказано в научной статье. — Повторное использование допустимо, если сложность должна оставаться выше некоторого минимума, а усилия по запоминанию — ниже некоторого максимума».

Microsoft предлагает группировать пароли с учётом обратной зависимости вероятного ущерба от сложности пароля: чем меньше вероятный ущерб — тем меньше энтропия пароля. В нижней правой части графика находятся «мусорные» сайты, для которых можно установить самый простой пароль.
Microsoft предлагает группировать пароли с учётом обратной зависимости вероятного ущерба от сложности пароля: чем меньше вероятный ущерб — тем меньше энтропия пароля. В нижней правой части графика находятся «мусорные» сайты, для которых можно установить самый простой пароль.

Слабые пароли можно использовать для «мусорных» сайтов, к которым применяется подход «взламывай на здоровье», и потеря учётных данных к которым не может нанести практически никакого ущерба пользователю.



7 комментариев

  1. 16.07.2014 at 15:58

    Microsoft — америку открыли, однозначно!
    хотя график, считаю, удался

  2. https://vk.com/dolmatov_aleksey

    16.07.2014 at 16:44

    Так и делаю, на простых сайтах делаю лёгкий пароль (использовать чаще приходиться пару раз и устаревает со временем)
    На важных сайтахсистемах использую сложный пароль.
    Так-же использую логику. Например вместо пароля logika использовать можно так L0G1ca

    • 16.07.2014 at 17:59

      Ололоша…мы и так знаем о тебе все что нужно независимо от того как ты включаешь логику.

  3. http://7v8.ru/

    17.07.2014 at 08:42

    Ещё бы ещё убрали ограничение сложности пароля на этих сайтах.
    А то мой любимый пароль 123 непроходит по сложности 🙁

  4. 17.07.2014 at 12:09

    Интересно, как они оценивали ущерб. Потеря денег? Данных? Репутации?
    Судя по статье, они учитывали деньги, доступ к почте и т.д.
    У человека от раскрытия личной переписки на форуме может быть лично субьективный моральный ущерб сильнее, чем от доступа к банковскому аккаунту (где все транзакции подтверждаются по смс). Плюс доступ к одному месту может давать доступ к другому. Так, в свое время, у человека увели аккаунт «N» в твиттере.
    Глупое исследование.

    • 22.07.2014 at 10:13

      Да ты что?! А самому догадаться ума не хватило? Конечно, если для тебя важен этот форум — то ставь на него сложный ПАСС — ёбть. Не тупи…. То есмть любой важный для тя сайт/система — паролируешь с высокой энтропией, всё что тебе не важно — и-нет-банкинг/доступ в налоговую — ставишь слабые пароли. Сам решаешь! Или за тебя решают?

Оставить мнение