Почему ограничения паролей на сайтах не обеспечивают вашу безопасность

Если вы создавали аккаунт или два в последние годы, вы, вероятно, заметили, что многие из этих сайтов ругают вас за использование “небезопасного” пароля при определенных условиях. Иногда вам даже не нужно нажимать кнопку “Зарегистрироваться”, прежде чем вы увидите небольшое сообщение рядом с полем пароля, говорящим о том, что вы используете слабый пароль.

Хотя некоторые сайты могут полностью запретить вам регистрацию с тем, что они считают слабым паролем, другие просто предупреждают вас и оставляют делать то, что вы хотите, по своей воле. Тем не менее, у этих сайтов (в основном) есть одна общая черта: их критерии для “безопасных паролей” не обеспечат вашу безопасность.

Формирование плохих привычек

websitepassword-badpass

Одно из первых, что вы заметите на большинстве сайтов, это то, что у них, похоже, есть схожие критерии для того, что будет считаться “сильным” паролем. На большинстве сайтов критерии следующие:

Минимум 6 или 8 символов
Минимум одна цифра и одна буква
Иногда хотя бы одна заглавная буква.

В этом случае пароль вроде “Ironclad1” вполне подходит и проходит требования этого конкретного сайта. Поскольку у большинства сайтов только эти требования, люди могут привыкнуть к тому, что “Ironclad1”, “Sallyepstein4”, “Michael1985” и т. д. являются хорошими паролями. Любой, кто когда-либо читал первые три страницы книги по кибербезопасности, знает, что это невероятно небезопасно, но это молчаливо устанавливается как норма миллионами сайтов по всему интернету, где безопасность является второстепенной задачей, стоящей пять строк кода.

Хакер может просто использовать атаку по словарю, чтобы взломать ваш пароль, и на этом всё.

Некоторые веб-сервисы (например, Google) также требуют, чтобы символ (например, “!” или “$”) использовался для создания пароля. Это просто делает такие пароли, как “$allyepstein4”, действительными, и атаки по словарю со временем стали более сложными.

Каковы хорошие привычки паролей?

websitepassword-lock

Существует множество споров о том, что делает пароль хорошим, но вместо того, чтобы углубляться и объяснять все нюансы, мы просто рассмотрим некоторые вещи, с которыми все в целом согласны. Хороший пароль

Включает широкий диапазон алфавитно-цифровых вариаций, таких как заглавные буквы, цифры и строчные буквы
Имеет символы в непредсказуемых местах (“@shley” менее безопасен, чем “@$_hley”, потому что в середине слова есть нижнее подчеркивание, где атака по словарю обычно ищет “@”, заменяющее “a”, и “$”, заменяющее “s”)
Содержит пробелы (например, “I @te a S4nDw1ch”)
Достигает верхнего предела разумных ограничений по символам (“ I l0v3 LuC#Y “ менее безопасен, чем “ Th1S p4ssword sH_oulD b3 h@rd to cr@ck “)
Содержит необычное написание слов (например, “schuld” вместо “should”, “beffe” вместо “beef”, “inszteda” вместо “instead”, “mektekezier” вместо “maketecheasier” и т. д.)

Конечно, один из лучших паролей, которые вы можете иметь, не очень легко запомнить (например: “ ifjecBucE083$&&8c ociefjC#&$6c iof0e0($# “). Обратите внимание, что приведенный пример — это просто полный бред, использующий все вышеперечисленные правила, включая введение пробелов. Это крайне необычно даже для самых сложных атак по словарю. При условии, что база данных, хранящая хэш вашего пароля, безопасна, и ключи шифрования управляются правильно, это сделает ваш аккаунт менее привлекательным для хакера.

Естественно, не все серверы безопасны, и один из сервисов, которые вы используете, может подвергнуться утечке, раскрывающей ваш пароль. Вот почему важно иметь разные пароли для каждого сервиса.

Но вы не можете запомнить 15 паролей, не говоря уже о том, который я привел в качестве примера “одного из лучших паролей, которые вы можете иметь”. Чтобы противодействовать этому, вы можете использовать высокозащищенную службу единого входа (также известную как “управление идентификацией”), которая следит за вашими паролями, чтобы вам не пришлось их запоминать. Хотя они существуют уже несколько лет, концепция все еще является неизведанной территорией (по крайней мере, на мой профессиональный взгляд), поэтому будьте осторожны. Проведите собственное исследование и погуглите название сервиса, добавив слово “утечка”, чтобы узнать, был ли он когда-либо взломан.

Как можно решить проблему

websitepassword-chainlock

Проблема, которую мы пытаемся решить здесь, заключается в том, чтобы заставить огромное количество людей, создающих аккаунты в Интернете, понять, каковы лучшие практики для создания паролей. Это звучит как монументальная задача, не так ли?

На самом деле, это так же просто, как предоставить информацию где-то. Google хорошо справляется с этим с помощью своих рекомендаций, но этого недостаточно.

Несмотря на похвалу, я думаю, что было бы лучше включить ссылку на эти рекомендации рядом с полем пароля, предоставляя пользователю легкий доступ во время регистрации аккаунта. Если кто-то игнорирует это, это его собственное право, но никто в этот момент не сможет сказать, что у них не было шанса прочитать образовательный материал по этому вопросу.

Единственная сложная часть заключается в том, чтобы убедить миллионы веб-сайтов, которые хранят базы данных аккаунтов, использовать эту практику. Однако, поскольку большинство из этих сайтов используют программное обеспечение большого объема (например, WordPress или Drupal), вероятно, будет лучше обратиться к разработчикам этого программного обеспечения, чтобы они предоставили подобные вещи в своих будущих обновлениях. Как только сайты обновят свое программное обеспечение, они автоматически получат эти рекомендации на своих страницах регистрации!

Что еще, по вашему мнению, мы можем сделать, чтобы повысить осведомленность о хороших паролях? Давайте обсудим это в комментариях!