Создатель "драконовских" правил для паролей раскаялся в содеянном

"Ваш пароль должен содержать как минимум одну цифру, букву в верхнем регистре, а также не-буквенный символ", — эти и подобные требования к паролям, как и действующее во многих корпорациях правило менять их каждые несколько месяцев, не взяты "с потолка". Их сформулировал 15 лет назад сотрудник Национального института стандартов и технологий (NIST) США. И теперь он глубоко сожалеет о содеянном.

"Ваш пароль должен содержать как минимум одну цифру, букву в верхнем регистре, а также не-буквенный символ", — эти и подобные требования к паролям, как и действующее во многих корпорациях правило менять их каждые несколько месяцев, не взяты "с потолка". Их сформулировал 15 лет назад сотрудник Национального института стандартов и технологий (NIST) США. И теперь он глубоко сожалеет о содеянном.

В 2003-м году Билл Бёрр (Bill Burr) написал восьмистраничное руководство о том, как правильно создавать безопасные пароли. На выпущенный NIST документ с тех пор ориентировались, определяя свою политику в отношении пользовательских паролей, корпорации, банки и интернет-сервисы. Именно в этом документа сформулированы требования вроде обязательного использования в пароле букв разного регистра, цифр и редких символов.

72-летний Бёрр признался в интервью The Wall Street Journal, что никогда не был экспертом по кибербезопасности, и никогда толком не разбирался в паролях, не говоря уже про психологические аспекты кибербезопасности. По его словам, при подготовке своего руководства он взял за основу документ, написанный еще в 80-х. В те годы до массового распространения интернета было еще далеко, и никто не мог представить, сколько разных паролей придется создавать и запоминать миллиардам людей на планете.

Теперь рекомендации NIST поменялись. Вместо относительно короткого, но сложно запоминаемого пароля с "абракадаброй" из цифр и символов институт советует использовать длинные фразы из обычных слов. Ведь с увеличением числа символов в пароле время, требуемое на его автоматизированный подбор при взломе, растет экспоненциально.

Что касается требования менять пароль каждые несколько месяцев, часто применяемого в корпоративных компьютерных системах, то оно также не сильно способствует повышению безопасности. Подавляющее большинство пользователей, меняя пароль, просто заменяют в нем один символ, как правило, цифру — в итоге подобрать его, зная старый вариант, можно очень быстро.

Источник: The Wall Street Journal