Поэтому умные люди давно заложили уменьшение энтропии паролей в алгоритмы их генерации:
1) Встраиваем бэкдор в публичный ключ RSA
2) Билл Бёрр рекомендовал чередовать цифры, специальные символы, строчные и прописные буквы, а также периодически менять пароли...
эти рекомендации неправильные, они вовсе не способствуют повышению компьютерной безопасности.
Во-первых, как уже отмечалось выше, они обеспечивают меньшую энтропию, чем длинные парольные фразы, при этом их гораздо труднее запомнить. Попробуйте запомнить беспорядочный набор символов в верхнем и нижнем регистрах, перемешанные с цифрами.
Во-вторых, особенно неправильной оказалась рекомендация менять пароли каждые 90 дней. Если хотя бы один сложный пароль из букв с цифрами пользователь может запомнить, то как ему изменить его через 90 дней и запомнить новый пароль? Как показала практика, большинство людей решают эту проблему самым логичным способом: они делают минимальные изменения в пароле. Например, просто меняют последнюю цифру, прибавляя единицу: Pa55word!1, Pa55word!2, Pa55word!3 и так далее. Это совершенно не способствует повышению безопасности.
До прочтения статьи № 2 я думал, что пароли бывают либо те, что легко запомнить, но можно взломать, либо те, которые нельзя взломать, но невозможно запомнить. Оказывается, основная масса паролей в мире (спасибо лично Биллу Бёрру) - те, которые легко взломать и трудно запомнить.
И это за 20 лет до восстания роботов!
