Вашему вниманию свежие публикации:
Самый безопасный пароль

А. Лукацкий в своей книге «Мифы и заблуждения информационной безопасности» делится опытом про самые безопасные пароли.

После взлома социальной сети MySpace в 2006 году и phpbb.com в 2009 году многими экспертами проводился анализ паролей, выбираемых пользователями. По статистике, от 65% до 96% всех паролей содержали 8 и менее символов. Об этом же говорят и списки самых популярных паролей. Во многих рекомендациях по тому, как управлять своими паролями, часто можно увидеть совет выбирать длинные пароли. Мол 8 символов – это уже мало. А так как сложно себе представить, что кто-то выберет пароль из 32 символов, то 14 – это как раз то, что надо. Хотя 32-тисимвольные пароли тоже бывают. Например, при взломе MySpace был обнаружен чемпион — «1ancheste23nite41ancheste23nite4» (надо признать, что повтор слов не делает этот пароль очень уж сложным). Среди других рекордсменов «fool2thinkfool2thinkol2think» и «dokitty17darling7g7darling7».
Но давайте посмотрим на этот совет с другой стороны. Вспомним классические рекомендации по выбору пароля. Использование цифр и букв в разных режимах, бессмысленный набор символов… Под такие критерии подходит, например, такой пароль из 14-ти символов – «74TwrM?0gaqm8z». Он подпадает под определение хорошего с точки зрения любого безопасника. А теперь вспомним, что по данным компании Protocom Development Systems 35,4% пользователей вынуждены помнить от одного до пяти паролей, а 38,1% — от шести до десяти. И при этом четверть этих пользователей постоянно забывает свои пароли. А все потому, что человеческий мозг не в состоянии запомнить столько таких бессмысленных последовательностей. И получается, что на чаше весов – с одной стороны требования безопасности, а с другой – удобство использования паролей. Но т.к. информационная безопасность в отличие от чувства защищенности пока не стала основной потребностью, то ждать, что пользователи ради нее будут перегружать свою память, не стоит. Именно поэтому они и выбирают простые пароли, так легко подбираемые злоумышленниками.

Вообще, длина – не самый важный параметр при выборе пароля. Можно ли назвать стойким пароль из пятидесяти единиц или последовательность из 33 букв российского алфавита? Нет. Хотя он и представляет собой длинную и бессмысленную последовательность. Что же делать? Как выбрать пароль, совмещающий в себе несовместимое – защищенность и удобство?

Одним из интересных вариантов решения задачи является применение парольных фраз, которые отличаются от паролей двумя ключевыми признаками – применение пробелов и длиной. Это позволяет использовать как осмысленные фразы, например, «Я помню чудное мгновенье, Передо мной явилась ты», так и бессмысленные наборы слов, например, «Классика Орангутан 1967 Веревка». Классические методы перебора или подбора по паролю тут не срабатывают. Правда, и у этого метода есть и некоторые ограничения. Например, не все системы допускают использование парольных фраз, а некоторые ограничивают длину вводимого секретного «слова». В качестве промежуточного решения можно предложить брать от парольных фраз только первые два-три символа. Например, «КлаОра196Вер» для приведенной выше парольной фразы. Этот пароль обладает всеми признаками защищенного и при этом легко запоминается.

В качестве заключения могу заметить, что только 0,93% пользователей выбирают пароли длиной свыше 13 символов, пишет Лукацкий в своей книге.



  1. Alik 08.04.2009

    :( Все мои пароли на смарку. Был у меня один знакомый, который тренировал память ежемесячной сменой паролей из рандомных символов…

  2. ABTOP 10.05.2009

    Не знаю, как с было с MySpace, но с phpbb.com пароли просто украли. Поэтому сложность паролей в последнем случае совершенно иррелевантна.

  3. Айша 14.06.2011

    у меня был пароль из 21 знака — взломали всё равно/


0