Популярные советы по созданию безопасных паролей ошибочны

Бывший сотрудник Национального института стандартов и технологий (NIST) Билл Берр, разработавший в 2003 году систему рекомендаций по созданию безопасных паролей, признал в интервью WSJ, что его советы были во многом ошибочны.

Иными словами, все эти сочетания букв, цифр и символов, которые нам настойчиво рекомендуют использовать практически все сервисы, не защищают от взлома, а действуют с точностью до наоборот.

Как получилось, что «безопасные» пароли легко взломать?

Все дело в человеческой психологии. Мы не в состоянии запомнить случайное сочетание букв и символов, поэтому используем те, которые имеют для нас хотя бы какой-то смысл. И применяем одни и те же алгоритмы для создания разных паролей. Например, заменив букву O на ноль и добавив цифры 123 в конце строки, мы считаем, что получившийся в результате «Par0l123» будет безопасен в качестве пароля, однако машинными методами взломать его очень легко.

Вторая опасная рекомендация Берра — использовать новый пароль каждые 90 дней. Большинство пользователей меняет его лишь частично, добавляя символ! в конце или пару цифр, что также не способствует безопасности.

И что же делать?

Следовать новым рекомендациям NIST, выпущенным в июне этого года и создавать пароли, которые не под силу расшифровать автоматическим системам. Например, можно использовать случайные, ничего не значащие сочетания слов, написанных без пробелов, как это предлагает делать карикатурист Рэндалл Мунро. Согласно его расчетам, подтвержденным экспертами по безопасности, для взлома пароля correcthorsebatterystamp (правильнаялошадьаккумуляторштамп) потребовалось бы около 555 лет.

Еще один полезные совет — не лениться генерировать по настоящему сложные пароли для каждого из используемых ресурсов и сохранять их в менеджере паролей, например, 1Password или LassPass.