Основатель популярного сервиса вопросов и ответов по программированию Stack Overflow Джефф Этвуд опубликовал статью, в которой раскритиковал политику парольной защиты, используемой разработчиками.
Текущий формат правил парольной защиты, включающий использование букв, цифр и специальных символов, не вполне надежен. Фактически, такие правила являются контрпродуктивными, считает Этвуд.
«Серьезно […] прекратите уже эту чепуху о произвольных паролях. Если не верите мне на слово, почитайте рекомендации NIST от 2016 года. Там четко сказано: “никаких правил композиции”», – сказано в послании.
Следующая ключевая проблема, по мнению Этвуда, связана с длиной пароля. Количество символов надежного пароля должно быть, как минимум, 10 или более, и разработчики должны обеспечить соблюдение этого правила.
«На сегодняшний день, учитывая состояния сферы облачных вычислений и случаи взломов хэшей паролей с помощью GPU, использовать пароль из 8 или менее символов – практически то же самое, что не использовать его вообще», – говорит основатель Stack Overflow.
Помимо этого, Этвуд призвал разработчиков усилить защиту от так называемых атак «по словарю». По его данным, порядка 30% пользователей устанавливают пароли, которые находятся в верхних строчках используемых злоумышленниками списков паролей.
Хотелось бы добавить, что относительно заботы пользователей о своей безопасности, ничего хорошего не скажешь. Иногда может показаться, что многие намеренно упрощают работу злоумышленников. Статистика недавнего исследования 10 миллионов паролей безопасности, которые стали доступны в результате утечек данных, показала, что самыми распространенными паролями минувшего года стали комбинации «123456», «123456789» и «qwerty».
Источник http://www.securitylab.ru/
