MISC · 09 августа 2017, 12:52 · Отдел информации dev.by
Автор правил по составлению паролей признал, что «был не прав»

Составитель вышедшего в 2003 году руководства по составлению безопасных паролей утверждает, что сожалеет о многих рекомендациях, сообщает Gizmodo.

Иллюстрация: TechnoBuffalo

Билл Бёрр создал пособие по составлению паролей к самым разным системам, от частных электронных адресов до входа в онлайн-банкинг. Использование заглавных букв, специальных символов и номеров — всё это уходит корнями в его давнюю публикацию 2003 года.

Правда, на тот момент Бёрр не был экспертом по безопасности и, по большому счёту, недостаточно разбирался в паролях. В интервью The Wall Street Journal он рассказал, что знания в области составления паролей почерпнул в справочнике, который вышел в 80-х, ещё до начала интернет-эпохи.

«Я сожалею о многом. Документ оказался слишком сложным для понимания и, говоря откровенно, ошибочным», — рассказывает Бёрр.

Gizmodo подтверждает его слова с помощью известного среди западных ИТ-специалистов комикса. Из него можно понять, что четыре несвязанных слова, использованные в качестве пароля, намного лучше защитят систему, чем набор символов. Если для взлома последнего потребуется 3 дня, то на то, чтобы разгадать набор слов, уйдёт 550 лет.

Иллюстрация: XKCD

Источник: dev.by

Обсуждение

Missing

Читал об этом. Пароли легко взламываются перебором. Имеет значение длина. https://blog.codinghorror.com/password-rules-are-bullshit/

Missing-female
+3

Там топовый коммент отличный к статье

Oh, gosh yes.

"My Secure Password" -- Sorry, no spaces allowed. (Why not?)

"MySecurePassword" -- Sorry, Passwords must include a number

"MySecurePassword1" -- Sorry, Passwords must include a special character

"MySecurePassword 1" -- Sorry, no spaces allowed (Argh!)

"MySecurePassword%1" -- Sorry, the % character is not allowed

"MySecurePassword_1" -- Sorry, passwords must be shorter than 16 characters

"Fuck" -- Sorry, passwords must longer than 6 characters

"Fuck_it" -- Sorry, passwords can't contain bad language

"Password_1" -- Accepted.

Да, длина, а то чем больше правил по паролю, тем больше шансов что пользователь вообще психанёт и уйдёт.

Missing-female
+1

Хм, на девбае отличный обработщик комментариев, который при записи известного набора символов < -- закомментирует дальейшую часть строки.

Missing-male

Расскажите девочкам-лингвистам-журналистам, которые публикуют подобные статьи:

400–500 слов – базовый словарный запас

1500–2000 слов – словарный запас для уверенного чтения

3000–4000 слов – достаточно для практически свободного чтения газет или литературы по специальности

Около 8000 слов – обеспечивают полноценное общение для среднего европейца. Практически не нужно знать больше слов для того, чтобы свободно общаться как устно, так и письменно, а также читать литературу любого рода.

Ну и из классики: "Словарь Вильяма Шекспира, по подсчёту исследователей, составляет 12 000 слов..."

Если ваш юзер не Вильям Шекспир, то удачи вам так его защищать.

F2b89625907ec99f6cba80b077cfac09?1502394643

Выбор четырех случайных слов из 500 - это уже ~2^36

Missing-male
+1

Зачем вы заставляете меня всё разжевывать?

Посыл вышеприведенного коментария состоит в том, что б показать людям, что объем наиболее часто используемых слов не такой уж большой, как кажется на первый взгяд. Поэтому использование тех же радужных таблиц сведет указанные 550 лет в бОльшей части случаев к дням.

А красивое число в 550 лет это такая же лапша на уши и заблуждение, не намногим лучше того мифа, который как раз и разбивается в этой статье. (про соль я вообще молчу)

Но самое плохое - это навязывание какого то алгоритма составления пароля. Это какие то самые азы, первый или второй урок по криптографии, когда объясняют, в чём разница в сложности взлома, когда противник знает или не знает алгоритм шифрования.

Но это всё теория. Любой практик вам скажет, что это всё туфта. И 99% всех усилий людей, кто реально занимается защитой информации сосредоточены не на том какой пользователю хитроумный алгоритм по формированию паролей выдумать, а на том, как заставить этого пользователя не хранить пароль в открытых общедоступных источниках (вроде стикера на мониторе) и передавать третьим лицам (что в корпоративной среде более чем актуально).

Missing-male

Рэндел Манро - мальчик-физик, а не девочка-журналистка.


Авторизуйтесь, чтобы оставлять комментарии

© 2008-2017 Частное предприятие "Дев Бай"
Использование материалов, размещенных на сайте, разрешается при условии прямой гиперссылки на dev.by. Ссылка должна быть размещена в подзаголовке или в первом абзаце публикации.
datahata — хостинг в Беларуси