В 2003 году Национальный институт стандартов и технологий США (National Institute of Standards and Technology — NIST) издал инструкцию по выбору и управлению паролей, который должен был стать рекомендацией для государственных организаций. Исследователи советовали чередовать цифры, специальные символы, строчные и прописные буквы при создании пароля, а также периодически их менять.
Через некоторое время рекомендации NIST превратилась в стандарт, обязательный для применения во многих государственных учреждениях. Но лишь недавно авторы документы осознали его ошибочность.
Ранее считалось, что пароль должен быть как можно более длинным, бессмысленным и непременно включать символы верхнего и нижнего регистра и спецсимволы. Но вскоре оказалось, что такой пароль нереально запомнить, поэтому многие пользователи его просто записывают на стикер и клеят под клавиатуру или на монитор. В результате эксперты порекомендовали в качестве пароля использовать осмысленное (при этом нечасто используемое) слово, однако в этом слове заменять букву «о» на 0 (нуль), «I» на 1, «S» на 5, и т. д. Кроме того, в конце слова нужно добавить спецсимвол и цифру. Однако позже выяснилось, что такие пароли компьютер довольно легко взламывает методом перебора, в то время как человеку их запомнить весьма сложно.
В течение 20 лет мы использовали пароли, которые сложно запомнить, но при этом легко взломать
Также в корне неверной оказалась рекомендация менять пароли каждые 2-3 месяца. Ведь если пользователь все же сможет запомнить один сложный пароль из бессмысленного набора букв и цифр, то вновь зубрить новый пароль через 3 месяца ему не под силу. Поэтому большинство пользователей просто меняли в старом пароле 1-2 символа, и таким образом решали задачу его смены. Например, в комбинации «Adm1nPa55w0rd#1» они просто заменяли последнюю цифру, в результате получая «Adm1nPa55w0rd#2», «Adm1nPa55w0rd#3» и т. д. Такие действия, конечно же, не способствовали усилению безопасности.
В июне 2017 года вышел новый стандарт NIST Special Publication 800-63B, в котором кардинально изменены рекомендации по выбору паролей. Здесь нет обязательного использования спецсимволов и нет требования по периодической смене пароля. То есть, менять пароли нужно лишь в том случае, если есть подозрении по их компрометации.
Теперь рекомендуется в качестве пароля выбирать длинные фразы, лёгкие для запоминания, но трудные для взлома. Это могут быть строчки из стихотворения или произвольный набор слов, например: «Близ мест, где царствует Венеция златая». Усложненный вариант: «Близ мест, где царствует Коннотация златая», то есть бессмысленный набор слов вместо фразы из поэмы Пушкина.
Чтобы подобрать фразы длиной 35-40 и более символов, кибервзломщикам придется менять подход. Обычная brute-force атака здесь малоэффективна, хакеры будут вынуждены применять новые методы словарного перебора, а это намного сложнее. По мнению экспертов, даже фразы из 4 случайных слов достаточно, чтобы защититься от взлома методом перебора. Конечно, ввод пароля из 40 символов требует больше времени, чем обычный 8-символьный, содержащий спецсимволы и цифры. Но зато вырастет и его надежность, что очень важно.
