То, что мы до сих пор знали о надежных паролях для аккаунтов в интернете, оказалось ошибкой. Это признал даже тот эксперт, который придумал все нынешние правила.
Неужели это произошло и с вами? Вы снова забыли тот сверхсложный пароль, который вам пришлось придумать по требованию вашего компьютера в офисе или какого-нибудь онлайн-сервиса, в котором у вас аккаунт? Этот новый пароль от вас требуют каждые 90 дней, да еще и предписывают разные его параметры: не меньше 8 знаков, использование регистра (прописные и строчные буквы), использование цифр и символов вроде !?/_* и прочих?
Полагаем, что ответ будет “да”, так как забытый пароль – это то, что случается сегодня с миллионами пользователей по всему миру. За исключением тех, кто имеет привычку записывать пароль на бумажке или придумывать “оригинальные” пароли вроде 12345678. Но и то, и другое является уже совсем непростительной халатностью в наше время хакеров и киберпреступности. Уж лучше тогда иногда забывать сложные пароли, говорят эксперты по компьютерной безопасности.
Покаяние автора “парольного безумия”
Но в августе 2017 года произошло событие, которое может кардинально изменить ситуацию. Интервью американскому изданию Wall Street Journal дал 72-летний Билл Бурр, который и является идеологом использующихся сейчас во всем мире правил создания надежных паролей. Он работал в NIST – Национальном институте стандартов и технологий США – и в 2003 году написал циркуляр под номером 800-63-3, где и сформулировал действующие поныне рекомендации к безопасности паролей. Циркуляр был принят американскими госучреждениями, затем частными компаниями в стране – а затем разошелся по всему миру.
Но вот только ряд положений документа “был неверен”, прямо и откровенно заявил теперь Бурр в интервью. Он признал, что не имел на тот момент достаточно данных, и в ответах на некоторые вопросы ему пришлось опираться на исследования 1980-х годов. Часть содержащихся в этих работах рекомендаций показались ему разумными – вроде, используйте символы и чаще меняйте пароли. В итоге эти советы перекочевали в его циркуляр от 2003 года.
Сейчас эксперт честно заявляет: “Я очень сожалею, что взвалил на пользователей всё это. Нам нужно было тогда постараться и попробовать предугадать то, что мы опытным путем выяснили несколько позже”.
“Пароль123”
Многие специалисты, в принципе, с пониманием отнеслись к покаянию Бурра – но призвали его не драматизировать. Как напомнил портал Naked Security, посвященный вопросам компьютерной безопасности, в 2003 году, в эру взрывного роста онлайн-сервисов, даже не совсем верные тезисы Бурра сыграли огромную роль. Они, например, заставили множество людей впервые задуматься о надежности своих аккаунтов и сменить свои примитивные пароли вроде “Пароль123” на чуть более продвинутый “П@роль123!”.
Но, в целом, с пересмотром принципов циркуляра Бурра в отрасли согласны. Так, представители NIST подтвердили, что за прошедшие после его публикации 14 лет они проанализировали множество баз данных со вскрытыми хакерами аккаунтами пользователей – и в итоге пришли к новым выводам. Они сформулированы в новом документе, который обнародовал Национальный институт стандартов и технологий и который постепенно должен внедряться в отрасли.
Долой символы!
Новый циркуляр не отменяет все принципы Бурра, только часть из них. Например, миф о надежности паролей с символами (!?/_*и прочими). Дело в том, что взлом паролей хакеры осуществляют не вручную, а с помощью программ – а для них совершенно все равно, какой знак (буква, цифра или символ) использован в пароле. В итоге символы нисколько не повышают надежность, зато добавляют головной боли пользователям и делают пароли более “забывающимися”.
Второй миф – необходимость менять пароли каждые 90 дней. Особенно часто это требуется в офисах, но в реальности приводит не к повышению безопасности, а к снижению. Как показывает статистика, измученные постоянными сменами паролей пользователи со временем начинают придумывать все более примитивные комбинации знаков, а то и вообще записывать их где-нибудь. Чем так, уж лучше придумать надолго один хороший и сложный пароль, говорят сегодня эксперты. Единственное исключение – это взлом системы, после которого всем в офисе, конечно, надо менять пароли.
Длинный пароль – это хорошо
А вот старая рекомендация, что пароль должен быть длинным, не потеряла своей актуальности. Более того, предписанные ныне 8 знаков – это мало, рассказал немецкий компьютерный эксперт Штефен Хашлер (Steffen Haschler) в интервью телерадиокомпании SWR. Надежнее пароли от 10 до 20 знаков. Причем лучше всего выбрать нормальную фразу, которую будет легко запомнить пользователю, и немного ее модифицировать. Например, “В лесу родилась елочка”, где вместо пробелов вставлять, скажем, цифры по числу букв в предыдущем слове: “В1лесу4родилась8елочка6”. (Только конкретно эту комбинацию использовать уже не надо: хороший пароль надо придумывать самому, а не брать в интернете. Даже на сайте DW.)
И вот чего еще категорически не стоит делать – это использовать один и тот же пароль (пусть и надежный) для разных аккаунтов. Как считает Хашлер, это даже важнее, чем надежность пароля как таковая. Ведь если хакерами будет вскрыта хотя бы одна система, в которой у пользователя есть аккаунт, это сразу означает компрометацию всех имеющихся у него аккаунтов.