В качестве паролей NIST рекомендует использовать фразы

Охотой за паролями, в том числе обычных юзеров, уже давно никого не удивить. Именно поэтому ИБ-эксперты не останавливаются на пути создания универсальной схемы по разработке наиболее эффективных защитных комбинаций. 

В июне этого года была закончена двухлетняя работа по переработке стандарта Национального институа стандартов и технологий США (National Institute for Standards and Technology, NIST) Special Publication 800-63B. Изначально эксперты планировали ограничиться легкими правками, но в итоге переписывать их пришлось практически с нуля.

Самое главное отличие заключается в том, что в новых правилах нет обязательного требования использовать специальные символы (такие как вопросительные и восклицательные знаки). Вместо этого обновленный стандарт рекомендует использовать длинные парольные фразы, легкие для запоминания, но трудные для брутфорса. Примечательно, что год назад, в аналогичных рекомендациях NIST, фразы так же упоминались.

Также эксперты снова заявляют, что менять пароли рекомендуется только в том случае, если существует вероятность их компрометации – если признаки утечки, как говорится, налицо.

Что ж, новые правила предполагают использование парольных фраз, которые в отличие от произвольного сочетания знаков запомнить намного легче. Это могут быть строчки из текста песни или же произвольные предложения. Но самое главное, чтобы брутфорсить 40-символьные фразы, хакерам придется применять новые словари с графами сочетаемости слов. И это намного сложнее, чем сбрутить восьмисимвольный пароль с произвольными символами.

Исследователи говорят, что даже фраза из четырех произвольных слов обеспечивает достаточно высокий уровень безопасности, чтобы надежно защититься от брутфорса.

На фото: Лорри Фейт Кранор, профессор Университета Карнеги-Меллон, в платье с 500 самыми популярными паролями в интернете, на саммите по кибербезопасности в Стэнфордском университете. Она надеется, что изучение ее платья поможет окружающим осознать необходимость смены своего слабого пароля.

Источник: https://geektimes.ru/