000Повторное использование одних и тех же паролей традиционно критикуется специалистами по безопасности. Причина понятна: утечка учётных данных с одного сайта ставит под угрозу безопасность на остальных сайтах, где пользователь ввёл тот же пароль. Стандартная рекомендация: использовать парольный менеджер и генерировать уникальные пароли для каждого ресурса.

Исследователи из Microsoft бросили вызов сообществу ИБ. В опубликованной ими научной работе приводятся советы по управлению портфелем из большого количества паролей. Оставив в стороне парольные менеджеры, исследователи пришли к выводу, что использование слабых паролей на большинстве «бесплатных» сайтов с малозначимым контентом — необходимое условие для того, чтобы пользователь запомнил пароли с высокой энтропией на действительно важных ресурсах.

«Стремительное снижение [энтропии паролей, в то время как сложность запоминания] увеличивается, предполагает, что повторное использование паролей — необходимый и разумный способ управления парольным портфелем, — сказано в научной статье. — Повторное использование допустимо, если сложность должна оставаться выше некоторого минимума, а усилия по запоминанию — ниже некоторого максимума».

Microsoft предлагает группировать пароли с учётом обратной зависимости вероятного ущерба от сложности пароля: чем меньше вероятный ущерб — тем меньше энтропия пароля. В нижней правой части графика находятся «мусорные» сайты, для которых можно установить самый простой пароль.
Microsoft предлагает группировать пароли с учётом обратной зависимости вероятного ущерба от сложности пароля: чем меньше вероятный ущерб — тем меньше энтропия пароля. В нижней правой части графика находятся «мусорные» сайты, для которых можно установить самый простой пароль.

Слабые пароли можно использовать для «мусорных» сайтов, к которым применяется подход «взламывай на здоровье», и потеря учётных данных к которым не может нанести практически никакого ущерба пользователю.

Подписаться
Уведомить о
7 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии