Профессионалы из сферы безопасности утверждают, что пароль из трех случайных слов может быть лучшим подходом для достижения защиты аккаунта, чем принудительное усложнение набора символов.
Слабые пароли легко запомнить, но также легко и угадать - а это может дать злоумышленнику доступ к вашим учетным записям в Интернете. Именно поэтому Национальный центр кибербезопасности Великобритании (NCSC) объяснил, почему он по-прежнему рекомендует пользователям выбирать для пароля три случайных слова, а не усложнять требования к паролям, такие как буквенно-цифровая строка, которая может позволить создавать плохие пароли типа «pa55word».
Предыдущие предупреждения NCSC против требований к сложности паролей были адресованы администраторам, ответственным за защиту ИТ-систем. Ранее NCSC уже призывала организации отказаться от политики истечения срока действия пароля, поскольку она поощряет пользователей выбирать незначительные вариации существующих паролей; Microsoft в 2019 году отказалась от рекомендаций по применению срока действия паролей в Windows 10, поскольку эта политика была устаревшей и бесполезной.
NCSC также критически относится к советам о том, что пароли нужно запоминать и не хранить. NCSC призывает людей хранить их в менеджере паролей, в браузере или на листе бумаги.
Основная причина, по которой NCSC предлагает использовать три случайных слова, заключается в том, что люди плохо запоминают длинные и сложные пароли, и распространенность применения менеджеров паролей остается «очень низкой».
Предложение о трех случайных словах также направлено на тех, кто не хочет использовать менеджеры паролей или не знает об их существовании, но есть и другие причины, по которым NCSC отдает предпочтение трем случайным словам - в том числе то, что таким образом создаются более длинные пароли, что это простая для объяснения и понимания стратегия паролей, а также то, что она удобна и практична.
Другая ключевая причина заключается в том, что три случайных слова помогают увеличить разнообразие паролей, и это сильно затрудняет злоумышленникам использование алгоритмов перебора для «дешевого» подбора паролей и последующей компрометации учетных записей.
«В настоящее время требования к сложности активно работают против разнообразия паролей (по всем вышеупомянутым причинам). Это привело к сближению стратегий и уменьшению разнообразия паролей» - объясняет Кейт Р., руководитель группы социотехнической безопасности NCSC.
«Чтобы увеличить разнообразие паролей, мы должны поощрять людей, использовать другие стратегии построения паролей (например, «три случайных слова»), которые обеспечат длину пароля, а не разнообразие наборов символов для достижения желаемой стойкости».
Хотя NCSC одобряет использование менеджеров паролей и считает, что они также повышают разнообразие паролей, они рекомендуют использовать три случайных слова до тех пор, пока менеджеры паролей не получат более широкого распространения.
Совет использовать три случайных слова примерно соответствует рекомендациям Google по защите учетных записей Google. Чтобы сделать пароль более длинным, но при этом запоминающимся, Google рекомендует использовать слова из песни или стихотворения, значимую цитату из фильма или речи, отрывок из книги, серию слов, значимых для пользователя, или создать акроним из предложения.
NSCS признает, что существуют алгоритмы поиска, оптимизированные для трех случайных слов, но Кейт Р. утверждает, что большее разнообразие паролей повышает стоимость взлома для злоумышленников, поскольку им приходится пробовать несколько алгоритмов.
NCSC надеется, что все больше людей будут использовать менеджеры паролей, и это также увеличит парольное разнообразие в отрасли, поэтому рекомендация трех случайных слов имеет смысл до тех пор, пока менеджеры паролей не будут применяться повсеместно.
Источник: https://is-systems.org