Джефф Этвуд (Jeff Atwood), основатель небезызвестного ресурса Stack Overflow, опубликовал на страницах своего блога развернутое послание, обращенное ко всем без исключения разработчикам. Свою тираду Этвуд озаглавил доходчиво и лаконично: «Правила составления паролей – это хе*ня».

Этвуд пишет, что у современных паролей насчитывается множество самых разных проблем, но главная из них – ужасные правила составления этих самых паролей. Чтобы не быть голословным, разработчик приводит несколько ярких примеров и даже дает ссылки на два Tumblr-блога (1 и 2), основная тема которых — странные требования к паролям.

Этвуд объясняет, что зачастую требования к паролям переходят границы здравого смысла и попросту не позволяют использовать генератор действительно надежных и случайных паролей. Ведь согласно правилам, такой рендомный пароль может содержать недостаточно цифр. Или специальных символов. Или каких-то определенных букв. В итоге пользователь буквально вынужден вручную создавать более короткую и простую комбинацию, потому что автоматика не справляется. По мнению эксперта, подобные правила только вредят и ухудшают и без того неблагоприятную ситуацию. При этом Этвуд отмечает:

«В наши дни, учитывая мощности облачных вычислений и взлом парольных хешей с помощью GPU, иметь любой пароль длиной восемь символов или меньше – это практически то же самое, что не иметь пароля вообще».

Длине паролей эксперт вообще посвятил немалую часть текста, объясняя, что в наши дни пароли должны насчитывать не менее десяти символов в длину. Ведь даже если рассмотреть список из 25 самых плохих и используемых паролей, только пять из них длиннее десяти символов. При этом называть все длинные пароли надежными, разумеется, тоже ошибочно, потому как «passwordpassword» или «0123456789012345689» вряд ли можно вообще назвать паролями.

25 худших паролей

Так Этвуд подводит читателей к основной мысли своей публикации: «Серьезно, ради всего святого, завязывайте с этой хе*ней и произвольными правилами составления паролей. Если не верите мне, почитайте официальные рекомендации NIST 2016 относительно паролей. Всё прямо там: “никаких правил составления паролей”. Впрочем, здесь я вижу одну ошибку, там стоило написать “никаких хе*овых правил составления паролей”».

Далее разработчик перечисляет методики усиления паролей, которые действительно работают и могут быть полезными. К примеру, он советует чаще использовать Unicode, так как это позволяет существенно удлинить и усложнить пароль. Также Этвуд призывает проверять энтропию паролей и в понятной форме доносить до пользователей, чем плох пароль «aaaaaaaaaa», несмотря на его длину. Кроме того, он рекомендует разработчикам чаще сверяться со словарем и базами утечек, попросту запрещая пользователям применять самые простые и распространенные пароли. Также следует запрещать и пароли, совпадающие с именем пользователя и его email-адресом (тот же принцип относится к URL, домену и названию приложения, для которых создается пароль). В качестве иллюстрации своих слов исследователь приводит простую и очень наглядную статистику:

  • 1,6% пользователей имеют пароли из числа худших 10;
  • 4,4% пользователей имеют пароли из числа худших 100;
  • 9,7% пользователей имеют пароли из числа худших 500;
  • 13,2% пользователей имеют пароли из числа худшей 1000;
  • 30% пользователей имеют пароли из числа худших 10 000.

8 комментариев

  1. Skybad

    14.03.2017 at 16:14

    А как же написать фразу по английски и допустим заменить все «а» на «@», «е» на «3», «н» на «#».
    Это как вариант и очень не плохой так как любимая фраза из фильма или песни будет явно больше 10 знаков.
    Весьма простое правило и удобно для пользователя

    • haynar

      14.03.2017 at 22:01

      если просто взять алфавит и заменить «а» на «@», «е» на «3», «н» на «#» то это никак не повлияет на время перебора. Так как предложенные «изменения» довольно распространены, значит об этом известно и атакующему. И так как длина нового алфавита совпадает с изначальным алфавитом, то любое слово из второго алфавита потребует то же самое время для перебора, что и слово из первого с предложенными изменениями.

    • asper

      15.03.2017 at 12:08

      ну вот ты только что написал правило, которое точно так же легко можно заложить в переборщик

  2. Skybad

    14.03.2017 at 22:51

    то что я написал это увеличивает время перебора. так используют не только буквы. А вот длина пароля это уже то что нужно. используя радужные таблицы взлом 14 символьного пароля не больше 5 секунд. Но для этого нужно иметь таблицу хешей по алгоритму создающему этот хеш. А вот перебор 14 символьного пароля это уже совсем другая история.
    Самое главное в современных паролях это длина, аже если это просто цифры. На сегодняшний день пароль меньше 20 символов считается не криптостойким. Да уже некоторые перешли на 30+ символов.
    Даже самый обычный таймаунт на 15 секунд от подбора пароля спасет любого пользователя от перебора даже 10 значного пароля. Тут метод зашиты ввода данных тоже важен. Раньше любой из методов помогал, а сейчас нужно комплексно подходить так как мощностя растут каждый день + облака доступны каждому (были бы деньги)

    • haynar

      14.03.2017 at 22:56

      вы предложили заменить все «а» на «@», «е» на «3», «н» на «#», а это означает, что длина измененного алфавита будет та же, что и изначального, а значит время перебора не изменится

    • AgentJordan

      16.03.2017 at 04:17

      Радужные таблицы для 14 значных паролей? ­— вот это прикол!
      «Даже самый обычный таймаунт на 15 секунд от подбора пароля спасет любого пользователя от перебора даже 10 значного пароля» — а кто сейчас перебирает в онлайне?

  3. Skybad

    14.03.2017 at 23:04

    я предложил вариант как из х…го пароля к которым привыкают пользователи сделать чтото что уже можно считать паролем

  4. Kyrdistan

    26.03.2017 at 23:10

    пользуйтесь проверенными менеджерами паролей и не ебите себе мозги

Оставить мнение

Check Also

Шифровальщик Cerber научился прятаться от систем, использующих машинное обучение

Специалисты компании Trend Micro сообщают, что шифровальщик Cerber взял на вооружение нову…