Недавно мы разобрали, что пароль - это один из методов проверки подлинности пользователя, при этом наиболее распространенный. Это секрет, который знают только двое - пользователь и система. Если пароль узнает кто-то третий, становится невозможно однозначно установить личность пользователя, и пароль считается скомпрометированным.
А этот третий может предпринять любые действия от имени пользователя - от вашего имени!
Именно поэтому свой пароль надо хранить как зеницу ока, и никому никогда не доверять его. Это касается как паролей к сайтам, так и паролей к компьютеру и телефону. Это же относится и к другим секретам: одноразовые пароли из SMS, пин-коды, CVV код на обратной стороне карты.
Не верьте, если человек называет себя инженером техподдержки или сотрудником банка и просит вас назвать свой пароль: у инженеров есть свои методы получить доступ к нужным данными, при этом в системном журнале появится запись что доступ получил именно конкретный инженер.
Хорошо, скажете вы, я все понял и никому никогда не назову свой пароль. Но откуда эти требования к длине и сложности пароля, не будет же кто-то как дурак сидеть и перебирать разные пароли к моему логину?
Именно что будет! Только конечно не сам: давно уже написаны специальные программы, которые умеют перебирать пароли. Работают они так: притворяясь пользователем они пытаются зайти на сайт, подставляя логин и пароль. Если пароль не верен, они подставляют следующий пароль из списка, потом следующий и так далее.
Список возможных паролей называется "словарем" и содержит наиболее часто встречающиеся типовые пароли; а еще словарь может формироваться под конкретную жертву и включать в себя кличку домашнего животного, девичью фамилию матери, дату рождения и другие важные для человека слова.
Как вариант они могут механически подбирать пароли подряд, например: 1111, 1112, 1113....
Именно поэтому большинство сайтов блокируют доступ после нескольких неуспешных попыток ввода. Это люто бесит, но это забота о нашей с вами безопасности. Так они защищаются от перебора паролей.
Насколько быстро происходит перебор паролей? Один из авторов проводил аудит безопасности в своей организации, перебирая пароли на своем ноутбуке (блокировка учетных записей была отключена). Пароль из букв, цифр и знаков длиной в 6 символов подбирался за пару часов, пароль в 7 символов становился известен на следующий день, если оставить работающий ноутбук на ночь. Результата перебора пароля в 8 символов автор не дождался, прогноз около недели. Если пароль состоит только из цифр, можно смело сокращать время перебора на порядок.
Поэтому важно, чтобы пароль был не менее 8 символов и содержал различные символы.