Использование различных типов символов и регулярная смена комбинаций официально больше не являются лучшими методами управления паролями. Эксперты теперь советуют делать более длинные и неожиданные комбинации.
Новые рекомендации о надежности паролей опубликованы Национальным институтом стандартов и технологий США (NIST), который разрабатывает и издает инструкции, помогающие организациям защищать свои информационные системы.
В течение многих лет общепринятая практика утверждала, что пароли должны сочетать в себе заглавные и строчные буквы, цифры и символы. Считалось, что такая сложность делает пароли менее взламываемыми с помощью атак грубой силы.
Однако такие требования часто приводили к тому, что люди приобретали плохие привычки, например, повторно использовали пароли или выбирали слишком простые комбинации, которые едва соответствовали критериям, например P@ssw0rd123.
Со временем NIST обнаружил, что такой акцент на сложности был контрпродуктивным и фактически ослаблял безопасность на практике. Кроме того, развитие вычислительных мощностей облегчило взлом коротких сложных паролей. Однако даже мощные алгоритмы не справляются с длинными паролями из-за огромного количества возможных комбинаций.
Стойкость пароля часто измеряется энтропией или человеческой непредсказуемостью. Длинный пароль имеет экспоненциально больше возможных комбинаций, что делает его более сложным для злоумышленников, даже если сами символы более простые.
Комбинации из нескольких коротких слов легко запоминаются. Например, «big dog small rat fast cat purple hat jello bat» в виде пароля, за вычетом пробелов, «bigdogsmallratfastcatpurplehatjellobat» – это безопасно и удобно.
В таком пароле соблюдается баланс между высокой энтропией и простотой, что позволяет пользователям не прибегать к таким небезопасным действиям, как записывание паролей или их повторное использование.
В своих новых рекомендациях NIST подчеркивает, что пользователи могут создавать пароли длиной до 64 символов. Если же включить в такую комбинацию заглавные буквы и символы, то взлом будет практически невозможен.
