Microsoft: нужно использовать плохие пароли на «мусорных» сайтах

Повторное использование одних и тех же паролей традиционно критикуется специалистами по безопасности. Причина понятна: утечка учётных данных с одного сайта ставит под угрозу безопасность на остальных сайтах, где пользователь ввёл тот же пароль. Стандартная рекомендация: использовать парольный менеджер и генерировать уникальные пароли для каждого ресурса.

Исследователи из Microsoft бросили вызов сообществу ИБ. В опубликованной ими научной работе приводятся советы по управлению портфелем из большого количества паролей. Оставив в стороне парольные менеджеры, исследователи пришли к выводу, что использование слабых паролей на большинстве «бесплатных» сайтов с малозначимым контентом — необходимое условие для того, чтобы пользователь запомнил пароли с высокой энтропией на действительно важных ресурсах.

«Стремительное снижение [энтропии паролей, в то время как сложность запоминания] увеличивается, предполагает, что повторное использование паролей — необходимый и разумный способ управления парольным портфелем, — сказано в научной статье. — Повторное использование допустимо, если сложность должна оставаться выше некоторого минимума, а усилия по запоминанию — ниже некоторого максимума».

Microsoft предлагает группировать пароли с учётом обратной зависимости вероятного ущерба от сложности пароля: чем меньше вероятный ущерб — тем меньше энтропия пароля. В нижней правой части графика находятся «мусорные» сайты, для которых можно установить самый простой пароль.

Слабые пароли можно использовать для «мусорных» сайтов, к которым применяется подход «взламывай на здоровье», и потеря учётных данных к которым не может нанести практически никакого ущерба пользователю.

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.

Комментарии (7)

  • Интересно, как они оценивали ущерб. Потеря денег? Данных? Репутации?
    Судя по статье, они учитывали деньги, доступ к почте и т.д.
    У человека от раскрытия личной переписки на форуме может быть лично субьективный моральный ущерб сильнее, чем от доступа к банковскому аккаунту (где все транзакции подтверждаются по смс). Плюс доступ к одному месту может давать доступ к другому. Так, в свое время, у человека увели аккаунт "N" в твиттере.
    Глупое исследование.

    • Да ты что?! А самому догадаться ума не хватило? Конечно, если для тебя важен этот форум - то ставь на него сложный ПАСС - ёбть. Не тупи.... То есмть любой важный для тя сайт/система - паролируешь с высокой энтропией, всё что тебе не важно - и-нет-банкинг/доступ в налоговую - ставишь слабые пароли. Сам решаешь! Или за тебя решают?

  • Ещё бы ещё убрали ограничение сложности пароля на этих сайтах.
    А то мой любимый пароль 123 непроходит по сложности :(

  • Так и делаю, на простых сайтах делаю лёгкий пароль (использовать чаще приходиться пару раз и устаревает со временем)
    На важных сайтахсистемах использую сложный пароль.
    Так-же использую логику. Например вместо пароля logika использовать можно так L0G1ca

    • Ололоша...мы и так знаем о тебе все что нужно независимо от того как ты включаешь логику.

  • Microsoft - америку открыли, однозначно!
    хотя график, считаю, удался