Спор о том, какие пароли следует называть безопасными, старше самой дисциплины информационной безопасности. И у него есть практическое применение: производители программного обеспечения используют в настройках своих продуктов требования к сложности паролей пользователей в соответствии с современным представлением о правильном подходе к выбору сложных паролей. Проблема как обычно заключается в том, что практически всегда сложный для взлома пароль сложен для запоминания. И совсем не обязательно, что наоборот.
Производители ПО в своем рвении установить требования к выбору паролей забыли об истоках проблемы. Пароль тем проще взломать, чем он тривиальные, то есть обычные. Иными словами, чем меньше в нем энтропии. Недостаток энтропии разработчики решили компенсировать. Сделать это можно было двумя способами: увеличив требуемую длину паролей, или расширив алфавит, из которого проли формируются. По какой-то неизвестной мне причине было выбрано второе, и теперь нам с вам приходится раз в несколько месяцев ломать голову, каким образом составить пароль таким образом, чтобы в нем были и цифры, и буквы, и спецсимволы, а также прочие закорючки. При этом вводимый пароль из 128 более или менее разнообразных знаков (например, последовательность ничем не связанных между собой значащих слов) будет признан ненадежным. Хотя энтропии в нем в миллионы раз больше, чем в восьмисимвольной абракадабре.
Разработчикам давно пора изменить подход к сложности паролей и ее оценке. Сделать это в современных условиях совсем несложно: сравнивая ввод с постоянно обновлянемой базой данных взломанных паролей (должна же быть какая-то польза от pastebin.com) и оценивая сложность по принципу чуть оригинальнее, чем "а есть ли в этом слове отакая загогулина".
Поддерживая, также добывил бы, что выдвигая требования, вендорам более внимательно оценивать реальные угрозы. Потому как если оффлайн атака на базу паролей невозможна, то ограничив количество попыток и скорость ввода, можно значительно уменьшить требования к сложности пароля.
ОтветитьУдалитьЧе далеко ходить PIN и CVV2 брутфорсом никто не ломает, по крайней мере, я не слышал
Ну это ж тогда придется риски оценивать, а это ведь так сложно ;)
ОтветитьУдалитьЕсть небольшой нюанс: большинство пользователей будет лениться каждый раз вводить пароль длиннее 8-10 символов, и будет стараться делать его покороче. В итоге, если не принуждать его использовать цифры и пр., то энтропия так и останется низкой. Возможно этим и мотивируются производители.
ОтветитьУдалитьНе позволяет согласиться одно обстоятельство: пользователи ленятся в основном потому, что пароли нужно выдумывать с преподвыподвертом. Если бы в качестве пароля принимались нормальные фразы, вопрос длины был бы решен.
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьХм.. по моему я все-таки напутал с вычислениями, уже порядком забыл все :-D
ОтветитьУдалитьВсе почти правильно в плане логики, только сравнивать нужно 52^16 и 72^8, тогда все становится на свои места :-)
ОтветитьУдалитьПлюс ко всему, пароли длиной до 12 символов включительно в наше время в облаках лоаются на юра и за очень скромные деньги. так что только длиной и сложностью в этом случае не обойтись.
Да ладно, я сам три раза проверил перед отправкой коммента :)
ОтветитьУдалитьНадо перестать считать пользователей идиотами по умолчанию. Пусть пользователь сам решает, какой пароль его устраивает. Выберет «123», взломают аккаунт — сам дурак. И все.
ОтветитьУдалитьК сожалению, последствия такого поведения пользователя могут навредить не только ему одному.
ОтветитьУдалитьусложнять пароль заставляют из-за лени пользователей. как раз что бы не было "123"(с)
ОтветитьУдалитьпароли брутфорсом с помощью процессора видеокарты сейчас ломаются в течении нескольких минут.
надо или делать блокировку пользователя или увеличивать длину пароля.
Николай
выражу свое мнение:
ОтветитьУдалить1. в пароле должны быть цифры, символы и регистр - это в первую очередь хорошая защита от подбора.
2. зачем запоминать? есть софт и сервисы для этого. (моя связка: LastPass и KeePass).
Согласен что производители должны придумывать инновации, но сейчас нет повода для таких вот статей.
если пароль не от ядерного чемоданчика, а так для повседневного сетевого хождения и иного бытового, то вопросы паролей прекрасно решают программы типа http://www.moxier.com/wallet/
ОтветитьУдалитьА если дальше развивать, то скорее всего появится личный биоидентификатор и ПО умеющее работать с ним
Это было в Симп... ой, нет - в xkcd:
ОтветитьУдалитьhttp://xkcd.com/936/