Сложные пароли не должны быть трудными для запоминания

Сложные пароли не должны быть трудными для запоминания

Сложные пароли не должны быть трудными для запоминания

Защита информации \\ 03.10.2017 16:10

Билл Бёрр – человек, занимающийся общими правилами по созданию сложных паролей, которые, по его мнению, должны обязательно сочетать буквенно-цифровые символы и чередовать прописные и строчные буквы, - признал свою ошибку. По словам Бюрра, эти правила «сводят людей с ума», при этом не обязательно, что пароли получатся сильными.

Четырнадцать лет плохих паролей

В 2003 году, когда Бёрр работал в Национальном институте стандартов и технологий (NIST), он опубликовал доклад, который стал справочным руководством по созданию безопасных паролей - NIST Special Publication 800-63. Appendix A. Руководство содержало две основные рекомендации. Первая: пароли должны представлять собой комбинацию из цифр, заглавных и прописных букв, а также специальных символов. Вторая: пароль необходимо менять каждые 90 дней. С момента своей публикации, руководство Билла Бёрра стало базой, на которой основывалось создание паролей. Многие компании стали использовать его и запретили своим пользователям использовать пароли, которые не отвечали этим требованиям. Так что же изменилось? Почему Бёрр сожалеет о своей роли в установлении статуса кво современных паролей?

Короткий ответ: люди все еще используют небезопасные пароли. В тех случаях когда пароли не должны соответствовать рекомендациям Бёрра и NIST, пользователи зачастую используют легко запоминающиеся (и также легко взламываемые) пароли, такие как “123456”, “111111” или “password”. Но проблема выходит за рамки этого. Даже если вы применяете логику Бёрра и NIST и конвертируете “password” в “P @ ssw0rd!”, все равно он остается легко взламываемым паролем. Когда многие пользователи используют такой пароль, то он становится шаблоном, который кибер-преступники могут использовать для доступа к своему аккаунту.

Решение

Бёрр – не единственный, кто признал, что изобретенный им метод устарел, а в некоторых случаях может быть даже небезопасным. Сам NIST обновил свои принципы цифровой идентификации в Digital Identity Guidelines, чтобы отразить новые изменения. По мнению данного института, ключ к безопасному паролю – это использование сложных фраз со словами, которые мы можем легко запомнить. Такой принцип представлен в комичном комиксе ниже с популярного xkcd.

 

 

Изображение: xkcd

В верхней строке показан пароль с буквенно-цифровыми символами, заглавными буквами и специальными символами (по сути, это «идеальный пароль» с точки зрения старого мышления), который может быть подобран примерно за 3 суток. Нижняя строка показывает, как фраза из четырех слов увеличивает время для подбора пароля до 550 лет. На протяжении многих лет мы прибегали к паролям, которые мы сами с трудом могли запомнить, но при этом они были легко угадываемыми для машин.

Время перемен

Если вы еще не сделали этого, то настало самое время сменить политику паролей в вашей компании. Одна из причин, почему многие сотрудники ставят под угрозу безопасность компании, - это выбор легко запоминающегося пароля, который также можно легко взломать. Иногда оказывается, что некоторые пароли, которые очень сложно запомнить, также можно достаточно легко подобрать. Поэтому важно подчеркнуть, что этот новый способ создания паролей сочетает в себе простоту и безопасность.

В новых рекомендациях NIST не рекомендуется регулярно менять пароли, а делать это скорее в случае крайней необходимости (например, после какого-то инцидента безопасности). Причина кроется в том, что пользователи могут воспользоваться более простым вариантом и сделать небольшие изменения в пароле, что сведет на нет все преимущества от изменения пароля. Более того, необходимость регулярно просить и даже требовать смены пароля может способствовать развитию “усталости от безопасности” среди сотрудников – это все более распространенная проблема среди всех видов компаний.

Билл Бёрр и NIST признали, что их метод не эффективен. Теперь ответственность лежит на нас. Внедрение новых принципов поможет создавать более безопасные пароли и защищать предприятие от кибер-преступников.

 

Оригинал статьи: Strong Passwords Don’t Have to be Hard to Remember

 

Panda Security в России

Статьи Защита информации

Хакеры похищают телефонные номера и «угоняют» Bitcoin-адреса

Хакеры похищают телефонные номера и «угоняют» Bitcoin-адреса

Защита информации \\ 23.08.2017 15:04 \\ Комментарии()

Среди жертв хакеров числятся многие эксперты Bitcoin-сообщества.

Кибербезопасность в промышленной автоматизации

Защита информации \\ 15.08.2017 12:38 \\ Комментарии()

Автор: Чертков Андрей Анатольевич, руководитель группы технической поддержки, отдел маркетинга и технической поддержки, подразделение "Промышленная Автоматизация", email^ andrei.chertkov@schneider-electric.com Новый виток развития средств промышленной автоматизации существенно обострил проблему обеспечения кибербезопасности предприятий. Собственники производств в ряде отраслей пока только начинают осознавать значимость проблемы и масштаб возможных потерь. Однако эксперты убеждены, что в ближайшем будущем рост числа кибератак заставит пользователей систем автоматизации более взвешенно и комплексно подходить к вопросам защиты своих активов от этой категории рисков.

Советы по безопасности смартфонов

Советы по безопасности смартфонов

Защита информации \\ 21.07.2017 14:17 \\ Комментарии()

Современные смартфоны способны выполнять намного больше задач, чем несколько лет назад мобильные телефоны. Однако значительно расширенный диапазон возможностей означает и появление новых рисков.

Wanna Cry не страшен для ПЦН "АНГАР-А".

Wanna Cry не страшен для ПЦН "АНГАР-А".

Защита информации \\ 15.05.2017 16:49 \\ ООО "Ангарейон-СБ" \\ Комментарии()

Мультиформатный ПЦН "АНГАР-А" полностью защищен не только от Wanna Cry, но и любых других вирусных угроз.

Программно-технические методы анонимизации в сети интернет

Программно-технические методы анонимизации в сети интернет

Защита информации \\ 01.04.2014 22:39 \\ itzashita.ru - Блог по информационной безопасности \\ Комментарии()

В последнее время наметилась тенденция по ограничению приватности в сети Интернет. Это связано с ограничениями, которое налагает на пользователя государственное регулирование сети Интернет. Государственное регулирование Интернет существует во многих странах (Китай, Россия, Беларусь).

Эксперты ассоциации RISSPA провели первую встречу в Санкт-Петербурге

Защита информации \\ 26.11.2013 20:42 \\ info@b2blogger.com \\ Комментарии()

22 ноября 2013 года в Санкт-Петербурге состоялась первая встреча экспертов ассоциации профессионалов в области информационной безопасности RISSPA.

Спасайте Ваши денежки, да и домены тоже. Китайцы идут. Мошенничество и аферы в Интернете.

Защита информации \\ 31.07.2012 19:54 \\ itzashita.ru - Блог по информационной безопасности \\ Комментарии()

Афера "Asia Domain Name Registration scam" в Рунете! Вы зарегистрировали или купили домен и создали на нем сайт. Годы идут, сайт развивается, становится популярным. Вот уже и доход с него "закапал". Вы получаете свой доход, оплачиваете домен, хостинг и другие расходы...

Съем информации через WIFI

Защита информации \\ 23.06.2012 03:05 \\ Егор Ершов \\ Комментарии()

Мы уже не раз на своем сайте ZhukovZdes.Net обсуждали тему прослушивания и подглядывания через стены. Детально рассказывали и о направленных микрофонах, работающих по прямой видимости и о радиостетоскопах, в народе называемых вибродатчиками, контактными приборами, касались и лазерных микрофонов, снимающих вибрацию со стекол.

Виброакустическая защита помещений

Виброакустическая защита помещений

Защита информации \\ 04.06.2012 17:18 \\ Комментарии()

В данной статье рассмотрены характерные особенности естественных каналов утечки информации и описаны методы виброакустической защиты помещений.

Книги

Системы охранной, пожарной и охранно-пожарной сигнализации

ISBN: 978-5-7695-6218-1
Год: 2010 (май)
Страниц: 512

 

 

Учебное пособие представляет собой 5-е издание, дополненное и переработанное. Книга незаменима при обучении специалистов по монтажу любых видов сигнализаций: пожарных, охранных и охранно-пожарных. Представлены также общие сведения об организации охраны на объекте.

Технические средства охраны

Системы охранной сигнализации: основы теории и принципы построения

ISBN: 978-5-9912-0025-7
Год: 2008
Страниц: 496

 

Учебное пособие поможет при прохождении теоретических курсов специалистами в области охраны. Здесь есть всё об эксплуатации технических средств охраны. Это второе, дополненное издание, созданное на основе лекций.

Технические средства охраны

Системы контроля и управления доступом

Год: 2010
Страниц: 272

 

Книга адресована широкому кругу лиц, занятых в области службы безопасности на различного уровня объектах. Прилагается перечень нормативных материалов.

 

Технические средства охраны

вверх