MISC · 09 августа 2017, 12:52 · Отдел информации dev.by
Автор правил по составлению паролей признал, что «был не прав»

Составитель вышедшего в 2003 году руководства по составлению безопасных паролей утверждает, что сожалеет о многих рекомендациях, сообщает Gizmodo.

Иллюстрация: TechnoBuffalo

Билл Бёрр создал пособие по составлению паролей к самым разным системам, от частных электронных адресов до входа в онлайн-банкинг. Использование заглавных букв, специальных символов и номеров — всё это уходит корнями в его давнюю публикацию 2003 года.

Правда, на тот момент Бёрр не был экспертом по безопасности и, по большому счёту, недостаточно разбирался в паролях. В интервью The Wall Street Journal он рассказал, что знания в области составления паролей почерпнул в справочнике, который вышел в 80-х, ещё до начала интернет-эпохи.

«Я сожалею о многом. Документ оказался слишком сложным для понимания и, говоря откровенно, ошибочным», — рассказывает Бёрр.

Gizmodo подтверждает его слова с помощью известного среди западных ИТ-специалистов комикса. Из него можно понять, что четыре несвязанных слова, использованные в качестве пароля, намного лучше защитят систему, чем набор символов. Если для взлома последнего потребуется 3 дня, то на то, чтобы разгадать набор слов, уйдёт 550 лет.

Иллюстрация: XKCD

Источник: dev.by
Новые комментарии
Здесь тем поднято на 100+ статей - и все, как на подбор, очень актуальные. Обсуждать сложно, потому что их много, они глубокие, и еще из-за психологического аспекта. Журналисты создали очень привлекательный образ своего героя, и, как потом оказалось, он не был приукрашен. Но, когда герой обрел "плоть" и стал одним из комментаторов - его роли ("автора вечера", дающего советы, и просто участника дискуссии) смешались, и стало непонятно: то ли обсуждать статью как принято на сайте, то ли общаться непосредственно с ним. Тем более, у девбая нет формата комьюнити, и говорящий откровенно здесь всегда проигрывает в дискуссиях. Спасибо Александру, что поднял и хорошо сформулировал все эти душевные темы - и работу с менее квалифицированными коллегами (неизбежность со временем), и "дженералистский" авторский подход (когда один сделаешь лучше и быстрей, но...), и неумение начальства разбираться в специалистах и задачах (даже при всем его желании, потому что специфика профессии такая), и идеализм программиста vs "прагматизм" начальства (когда делаешь продукт для пользователя, а оценивает результат начальство, для которого главное - продать этот продукт начальству пользователя) - и другие более земные. Основная тема статьи - что в мировом IT было хорошо, пока не начали "по деревням пускать грузовики за "джавистами" - нас ведь тоже касается. "Войтивайти" неизвестно чем закончится. Уже сейчас вокруг нашего "айти" в обществе формируется что-то нездоровое. Еще ладно, когда другие считают нас "элитным клубом" - это потому что журналисты постарались. Но когда сами "войтишники" пишут о себе на полном серьезе, что они "завидные женихи" именно потому что айтишники, что нужно попасть в айти любыми способами - становится тревожно. Потому что, если у них не получится в профессии - они пойдут в карьеру, и по их решениям нам придется в IT жить. Если кому-то не довелось еще работать в командах, где большинство - это новенькие, пришедшие в IT за деньгами (честно об этом говорящие), не поймет каково это. Разница с обычными новичками в том, что вторые чувствуют профессию и понимают, что пока мало умеют, и активно учатся. А первые активно занимаются маскировкой своего неумения, и надо сказать, у многих получается. Пока у нас в РБ все же подъем, и то, о чем пишет Александр, только начинает появляться, хотя и успело погубить некоторые известные мне проекты. Как бы нам нашу "систему" сохранить...
Perfokarta
20.01.2018 в 18:43
«По деревням пускали грузовики — за «джавистами». Программист, уехавший в 90-е, об «изнанке» Штатов

Обсуждение

Missing

Читал об этом. Пароли легко взламываются перебором. Имеет значение длина. https://blog.codinghorror.com/password-rules-are-bullshit/

Missing-female
+3

Там топовый коммент отличный к статье

Oh, gosh yes.

"My Secure Password" -- Sorry, no spaces allowed. (Why not?)

"MySecurePassword" -- Sorry, Passwords must include a number

"MySecurePassword1" -- Sorry, Passwords must include a special character

"MySecurePassword 1" -- Sorry, no spaces allowed (Argh!)

"MySecurePassword%1" -- Sorry, the % character is not allowed

"MySecurePassword_1" -- Sorry, passwords must be shorter than 16 characters

"Fuck" -- Sorry, passwords must longer than 6 characters

"Fuck_it" -- Sorry, passwords can't contain bad language

"Password_1" -- Accepted.

Да, длина, а то чем больше правил по паролю, тем больше шансов что пользователь вообще психанёт и уйдёт.

Missing-female
+1

Хм, на девбае отличный обработщик комментариев, который при записи известного набора символов < -- закомментирует дальейшую часть строки.

Missing-male

Расскажите девочкам-лингвистам-журналистам, которые публикуют подобные статьи:

400–500 слов – базовый словарный запас

1500–2000 слов – словарный запас для уверенного чтения

3000–4000 слов – достаточно для практически свободного чтения газет или литературы по специальности

Около 8000 слов – обеспечивают полноценное общение для среднего европейца. Практически не нужно знать больше слов для того, чтобы свободно общаться как устно, так и письменно, а также читать литературу любого рода.

Ну и из классики: "Словарь Вильяма Шекспира, по подсчёту исследователей, составляет 12 000 слов..."

Если ваш юзер не Вильям Шекспир, то удачи вам так его защищать.

F2b89625907ec99f6cba80b077cfac09?1516285046

Выбор четырех случайных слов из 500 - это уже ~2^36

Missing-male
+2

Зачем вы заставляете меня всё разжевывать?

Посыл вышеприведенного коментария состоит в том, что б показать людям, что объем наиболее часто используемых слов не такой уж большой, как кажется на первый взгяд. Поэтому использование тех же радужных таблиц сведет указанные 550 лет в бОльшей части случаев к дням.

А красивое число в 550 лет это такая же лапша на уши и заблуждение, не намногим лучше того мифа, который как раз и разбивается в этой статье. (про соль я вообще молчу)

Но самое плохое - это навязывание какого то алгоритма составления пароля. Это какие то самые азы, первый или второй урок по криптографии, когда объясняют, в чём разница в сложности взлома, когда противник знает или не знает алгоритм шифрования.

Но это всё теория. Любой практик вам скажет, что это всё туфта. И 99% всех усилий людей, кто реально занимается защитой информации сосредоточены не на том какой пользователю хитроумный алгоритм по формированию паролей выдумать, а на том, как заставить этого пользователя не хранить пароль в открытых общедоступных источниках (вроде стикера на мониторе) и передавать третьим лицам (что в корпоративной среде более чем актуально).

Missing-male

Рэндел Манро - мальчик-физик, а не девочка-журналистка.


Авторизуйтесь, чтобы оставлять комментарии

Использование материалов, размещенных на сайте, разрешается при условии прямой гиперссылки на dev.by. Ссылка должна быть размещена в подзаголовке или в первом абзаце публикации.
datahata — хостинг в Беларуси