schegloff (schegloff) wrote,
schegloff
schegloff

Category:

Не подбирать пароли, а сразу генерить их подобранными

В ТРИЗ существует хорошая метафора - "иногда более сложную задачу решить легче, чем менее сложную". Подобрать пароль 202cb962ac59075b964b07152d234b70 мало кто сможет, но если знать, как он сгенерирован, то подбор становится тривиальным.

Поэтому умные люди давно заложили уменьшение энтропии паролей в алгоритмы их генерации:

1) Встраиваем бэкдор в публичный ключ RSA

2) Билл Бёрр рекомендовал чередовать цифры, специальные символы, строчные и прописные буквы, а также периодически менять пароли...

эти рекомендации неправильные, они вовсе не способствуют повышению компьютерной безопасности.

Во-первых, как уже отмечалось выше, они обеспечивают меньшую энтропию, чем длинные парольные фразы, при этом их гораздо труднее запомнить. Попробуйте запомнить беспорядочный набор символов в верхнем и нижнем регистрах, перемешанные с цифрами.

Во-вторых, особенно неправильной оказалась рекомендация менять пароли каждые 90 дней. Если хотя бы один сложный пароль из букв с цифрами пользователь может запомнить, то как ему изменить его через 90 дней и запомнить новый пароль? Как показала практика, большинство людей решают эту проблему самым логичным способом: они делают минимальные изменения в пароле. Например, просто меняют последнюю цифру, прибавляя единицу: Pa55word!1, Pa55word!2, Pa55word!3 и так далее. Это совершенно не способствует повышению безопасности.


До прочтения статьи № 2 я думал, что пароли бывают либо те, что легко запомнить, но можно взломать, либо те, которые нельзя взломать, но невозможно запомнить. Оказывается, основная масса паролей в мире (спасибо лично Биллу Бёрру) - те, которые легко взломать и трудно запомнить.

И это за 20 лет до восстания роботов!
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 21 comments