Многие до сих пор делают свои пароли слишком простыми. Shutterstock / Виталий Водолазский

Более 15 лет технические лидеры делали различные предсказания относительно смерти паролей. Билл Гейтс предсказал это еще в 2004 и Microsoft имеют предсказал это на 2021 год. Между ними было множество подобных провозглашений, наряду с постоянной критикой паролей как неадекватных средств защиты.

Тем не менее пароли остаются обычным аспектом кибербезопасности, которым люди пользуются каждый день. Более того, пароли пока не видят признаков исчезновения. Но многие люди все еще использую их плохо и, похоже, не осведомлены о рекомендуемой передовой практике.

Это очень распространено среди экспертов по кибербезопасности и компании винят пользователей за неправильное использование паролей, не осознавая, что системы допускают их неправильный выбор.

Многие веб-сайты не предлагают никаких предварительных инструкций по выбору паролей, которые они требуют от нас, возможно, при условии, что мы уже знаем эти вещи или можем найти их где-нибудь еще. Но то, что люди упорствуют в использовании слабых паролей предполагает, что это оптимистичный взгляд.

Устаревший совет

Помимо отсутствия инструкций, часто можно найти веб-сайты, на которых установлены устаревшие требования к паролям. Вы, вероятно, знакомы с системами, которые настаивают на сложности пароля, требуя букв верхнего регистра, цифр или специальных символов, чтобы сделать пароли более надежными (наш ответ на который часто повторяет видео ниже).

Однако текущее руководство состоит в том, чтобы допустить сложность, но не требовать ее, и в основном рассматривать надежность пароля как синоним длины пароля.

Ассоциация Национальный центр кибербезопасности рекомендует создать длинный пароль, объединив три случайных слова, что позволит получить что-то более длинное и запоминающееся, чем многие стандартные варианты.

Мои попытки пароля

Также бесполезно то, что вместо того, чтобы давать указания и требования с самого начала, многие сайты раскрывают правила только в ответ на то, что мы пробуем то, что запрещено. Я пробовал создать пароль для одного из таких сайтов. Большинство моих попыток получали отзывы, требующие дальнейших действий, пока я не остановился на окончательном выборе, который был принят без жалоб. Но пароль, который был принят, Стив !, был коротким и довольно предсказуемым.

Борьба с правилами. Стивен Фурнелл, Автор условии

Когда я немного поигрался, были приняты различные другие слабые варианты. Например, 1234a !, abcde1 и qwert! все удовлетворяли правилам, как и Фурнелл1, что не особенно важно, тем более, что я уже ввел Фурнелл как свою фамилию в другом месте в регистрационной форме.

Между тем, правила часто означают, что мы не можем использовать пароли, которые наши устройства автоматически генерируют для нас, или те, которые мы можем создать для себя, следуя текущим инструкциям.

Многие веб-сайты не позволяют сгенерировать пароли. Стивен Фурнелл

Некоторые сайты, кажется, думают, что могут компенсировать отсутствие руководства, используя такие методы, как счетчики паролей, чтобы оценивать наш выбор. Однако, хотя они и дают обратную связь, они не заменяют руководство о том, как выглядит хорошее.

Используя другой сайт, я ввел ненадежный пароль (слово «пароль»), и единственный ответ, который я получил, заключался в том, что пароль очень слабый. Если пользователь действительно предлагал этот пароль в качестве попытки, ему нужно сказать, почему он слабый. Хотя вы, несомненно, можете найти некоторые сайты, дающие лучшие и более информативные отзывы, этот пример, к сожалению, является репрезентативным для многих других.

Правила, которым нужно следовать

Конечно, подчеркнув отсутствие эффективного руководства, было бы упущением закончить, фактически не предложив его. Руководство NCSC о выборе и использовании паролей перечислены и кратко описаны ниже:

1. Используйте надежный и отдельный пароль для своей электронной почты - так как это часто ваш путь для доступа к другим учетным записям.
2. Создавайте надежные пароли, используя три случайных слова - это даст вам более надежные и запоминающиеся пароли.
3. Сохраняйте пароли в браузере - это не позволит вам забыть или потерять их.
4. Включите двухфакторную аутентификацию - это добавит дополнительный элемент защиты, даже если ваш пароль будет скомпрометирован.

Полезно дополнить это дополнительными напоминаниями, чтобы использовать тот же пароль через несколько учетных записей из опасения, что нарушение одного приведет к нарушению всех, не передавать их другим людям, потому что тогда это больше не ваш пароль, и не хранить их обнаруживаемые записи. Можно хранить их в защищенном месте, например в программе диспетчера паролей.

Тревожно думать, что пароли существуют уже несколько десятилетий, а мы все еще ошибаемся. И это всего лишь один из аспектов кибербезопасности, который нам необходимо правильно использовать. Это не сулит ничего хорошего для кибербезопасности в более широком смысле.

Об авторе

Стивен Фурнелл, Профессор кибербезопасности, Ноттингемский университет

книги_безопасность

Эта статья переиздана из Беседа под лицензией Creative Commons. Прочтите оригинал статьи.