Автор руководства по паролям сожалеет о своих советах
Автор влиятельного руководства по компьютерным паролям говорит, что теперь сожалеет о нескольких советах, которые он дал. Билл Барр советовал пользователям менять пароль каждые 90 дней и смешивать слова, добавляя заглавные буквы, цифры и символы, поэтому, например, «protected» может стать «pr0t3cT3d4!». Проблема, по его мнению, состоит в том, что теория на практике особо не сработала.
Барр теперь признает, что его руководство 2003 года «взростило неправильное дерево» и раскрыл свои взгляды в интервью Wall Street Journal. Существующие рекомендации больше не предполагают, что пароли часто меняются, потому что люди склонны реагировать, делая лишь небольшие изменения в своих существующих паролях — например, меняя «monkey1» на «monkey2» — которые относительно легко подобрать. Кроме того, было продемонстрировано, что для компьютеров требуется больше времени для взлома случайного сочетания слов — например, «кофе свиньи блуждает по черному» — чем он делает, чтобы угадать слово с легко запоминаемыми подстановками — например, «br0k3n!».
Первоначальный совет Барра был распространен Национальным институтом стандартов и технологий правительства США. С тех пор он был изменен несколько раз, причем последнее издание выпущено в июне. «Все, что публикуется под баннером Nist, имеет тенденцию влиять, поэтому эти рекомендации оказали длительное воздействие», — сказал профессор Алан Вудворд из Университета Суррея. «Но мы знаем теперь, что эти рекомендации действительно имели довольно неудачный эффект. Например, чем чаще вы просите кого-то изменить свой пароль, тем слабее становятся новые пароли. И поскольку у нас сейчас так много онлайн-счетов, ситуация усугубляется».
Национальный центр кибербезопасности Великобритании в 2015 году опубликовал собственное руководство по этому вопросу. Он рекомендовал организациям отказаться от политики подталкивания своих пользователей к регулярным сбрасываниям пароля и что они должны поддерживать использование менеджеров паролей — программ, которые надежно хранят сотни разных логинов, избегая необходимости запоминать их.
«Хорошо, что советы по паролям теперь обновляются, чтобы основываться на доказательствах», — сказал Стивен Мердок из Лондонского университетского колледжа. «Но есть еще традиционные рекомендации в других областях компьютерной безопасности, которые сохраняются, несмотря на то, что это уже не срабатывает. Нам нужны исследования, которые предлагая верные рекомендации по безопасности, действительно улучшали бы ситуацию, а также правительству и компаниям стоит обратить внимание на результаты».