NIST наконец-то меняет рекомендации по паролям: теперь рекомендуются длинные парольные фразы

    На фото: Лорри Фейт Кранор, профессор Университета Карнеги — Меллон, в платье с 500 самыми популярными паролями в интернете, на саммите по кибербезопасности в Стэнфордском университете. Она надеется, что изучение платья поможет окружающим людям осознать необходимость поменять свой слабый пароль.

    В 2003 году Билл Бёрр (Bill Burr) работал менеджером среднего звена в Национальном институте стандартов и технологий. Ему с коллегами поручили написать скучную инструкцию — документ с инструкциями по выбору и управлению паролей, который должен был стать рекомендацией для государственных организаций США. Сотрудники выполнили задание — и этот документ стал известен как NIST Special Publication 800-63B. Лично Бёрр написал приложение А к этому стандарту (Appendix A) — восьмистраничный пример, который даёт практические советы по выбору и управлению паролями. Билл Бёрр рекомендовал чередовать цифры, специальные символы, строчные и прописные буквы, а также периодически менять пароли.

    Рекомендация NIST с годами превратилась в стандарт, который стал обязателен для исполнения во многих государственных учреждениях, а сам сейчас автор в полной мере осознал масштаб своих ошибок и теперь очень сожалеет о содеянном, пишет The Wall Street Journal.

    Абсурдные рекомендации по выбору и управлению паролями в своё время стали сюжетом известного комикса XKCD.



    Вряд ли менеджер Национального института стандартов и технологий мог представить, что его рекомендации получат такое распространение, станут непреложной истиной для миллионов пользователей и огромного количества компаний, государственных агентств, учебных заведений и прочих. Все они установили правила для выбора и управления паролями в соответствии с рекомендациями NIST.

    Но со временем проявилась одна проблема. Выяснилось, что эти рекомендации неправильные, они вовсе не способствуют повышению компьютерной безопасности.

    Во-первых, как уже отмечалось выше, они обеспечивают меньшую энтропию, чем длинные парольные фразы, при этом их гораздо труднее запомнить. Попробуйте запомнить беспорядочный набор символов в верхнем и нижнем регистрах, перемешанные с цифрами.

    Во-вторых, особенно неправильной оказалась рекомендация менять пароли каждые 90 дней. Если хотя бы один сложный пароль из букв с цифрами пользователь может запомнить, то как ему изменить его через 90 дней и запомнить новый пароль? Как показала практика, большинство людей решают эту проблему самым логичным способом: они делают минимальные изменения в пароле. Например, просто меняют последнюю цифру, прибавляя единицу: Pa55word!1, Pa55word!2, Pa55word!3 и так далее. Это совершенно не способствует повышению безопасности.

    Сейчас мистеру Бёрру 72 года, он на пенсии. В комментарии The Wall Street Journal он сказал, что сожалеет о большей части содеянного. Возможно, ему не нужно быть таким строгим к себе. Кто мог подумать, что рекомендации NIST разойдутся настолько широко и станут «золотыми правилами» для системных администраторов? К тому же, в то время не было достаточно академических исследований о безопасности паролей, и трудно было написать действительно грамотные рекомендации, а на Бёрра давило начальство с требованием быстро закончить работу. У специалиста, который программировал военные мейнфреймы ещё во время Вьетнамской войны, просто не было времени досконально изучить тему. Он даже просил администраторов дать ему посмотреть на реальные пароли сотрудников NIST для анализа, но ему с удивлением отказали по причинам защиты конфиденциальных данных.

    Администраторы были удивлены даже самой просьбе. Не имея эмпирических данных, Бёрр руководствовался научным исследованием 80-х годов — это лучшее, что нашлось. Как выяснилось спустя 15 лет, он сделал неправильный выбор.

    В июне 2017 года была закончена двухлетняя работа по переработке стандарта NIST Special Publication 800-63B. Первоначально планировалось ограничиться лёгкими правками, но в итоге группе сотрудников пришлось переписывать всё практически с нуля. В новых правилах нет обязательного требования использовать специальные символы (такие как вопросительные и восклицательные знаки) и отсутствует требование по обязательной смене пароля.

    Теперь наконец-то до специалистов NIST дошли правила энтропии из комикса Манро — и обновлённый стандарт рекомендует использовать длинные парольные фразы, лёгкие для запоминания, но трудные для брутфорса.

    Менять пароли теперь рекомендуется только в том случае, если существует вероятность их компрометации, то есть если имеются признаки утечки.

    Ну вот, наконец-то справедливость восторжествовала. То, о чём говорили многие специалисты по безопасности, официально признано на уровне NIST. Миллионы пользователей, которые тупо меняли пароли каждые три месяца, выбирая строчные и прописные буквы, цифры и специальные символы, интуитивно чувствовали абсурдность этого процесса — и теперь они тоже могут вздохнуть с облегчением. Новые правила предполагают использование парольных фраз, которые гораздо легче запомнить. Это могут быть строчки из стихотворения или произвольные предложения. Чтобы брутфорсить 40-символьные фразы, хакерам придётся применять новые словари с графами сочетаемости слов. Это более сложно, чем сбрутить восьмисимвольный пароль с произвольными символами.

    Исследователи говорят, что даже фраза из четырёх произвольных слов обеспечивает достаточно высокий уровень безопасности, чтобы надёжно защититься от брутфорса.

    Все пользователи каждый день тратят примерно 1300 лет на набор паролей, так что правильные рекомендации — это очень важно. С парольными фразами затраты времени человечества, впрочем, ещё больше увеличатся. Но зато вырастет и энтропия паролей, что более важно.
    Метки:
    Поделиться публикацией
    Комментарии 162
    • +3
      У меня как-то был пароль «инопланетяне в три часа ночи тырят бульдозер» (фраза с известной картинки), где-то набранный в русской, где-то в английской раскладке. Но ведь в нем же нет спецсимволов, чисел и заглавных букв! Какой ужас, мы вас заставим использовать правильные пароли!
      • 0
        у меня уже лет 20 один из паролей (мастер-пароль) — достаточно известная фраза из фильма. с элементами народного фольклора (т.е. мата). применяется там, где вводить нужно редко, так что для запуска винды не подойдет.
        • 0
          Осмелюсь предположить, что из «Особенностей...». ;)
          • +4
            Ещё пара гипотез и мастер-пароль товарища CoolCmd падёт.
            • +1
              Спорим, что монолог из «Крови и бетона»?)))
              • 0
                душевная фраза. взял на заметку.
              • 0
                или из ДМБ :)
                • 0
                  Скорее всего Горячие головы. Фраза вождя, когда он наконец-то получил батарейки в переводе Володарского.
                  • 0
                    А мне отчего-то кажется, что это что-то с Химками связанное.
                  • 0

                    Вероятно, этот паттерн используется не только вами.
                    Так что брутфорсерам логично распарсить культурный слой с пополнить словари культовыми фразами.
                    Я к тому, что использовать как пароль фразу целиком, как она где то встречается — плохая идея.

                  • 0
                    Я обхожу эти ограничения добавлением всех необходимых по мнению системы символов в конец парольной фразы.
                    • +1
                      Люди уже ушли на эпоху вперед, на портале госуслуг нельзя ввести пароль с 2 одинаковыми символами идущими подряд.
                      • +1
                        Так это ж только сокращает пространство допустимых паролей. Дополнительные упрощающие правила для брута.
                      • 0
                        У меня как-то угнали скайп с паролем примерно +JAa=oSI.>n{1c*«0u'aTqM9KVph/g
                        С тех пор пароли у меня ещё и разные…

                        (на почту тот же был, её тоже сперли).
                        • 0
                          Скайп у вас угнали не подбирая этот пароль, все проще.
                          • 0
                            Сложно сказать, что первым угнали. Но явно из-за того, что пароль использовался в нескольких местах.
                      • +3

                        Эм… парольные фразы… средний словарный запас — 10 000 слов.
                        Парольная фраза из четырех слов — 10^4*4 = 10^16 Мне кажется, или при большей длине пароля обеспечивается меньшая защищенность(при условии правильности написания слов в парольной фразе)?

                        • +1

                          Если буквы, цифры и спецсимволы это 100 вариантов, то пароль длинной 8 это те же 10^16

                          • 0
                            Это как?
                            ?l = abcdefghijklmnopqrstuvwxyz
                            ?u = ABCDEFGHIJKLMNOPQRSTUVWXYZ
                            ?d = 0123456789
                            ?s = !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
                            26+26+10+33=95 имеем 95^8=6 634 204 312 890 625 а это никак не 10^16=10 000 000 000 000 000
                            • 0
                              Как вы только что правильно продемонстрировали, то на то.
                              • 0
                                Цифры одного порядка, разница менее чем в 2 раза
                                • +1
                                  парольную фразу легче запомнить. и куча бесплатных трурандомных генераторов.
                              • 0
                                Большинство людей не запоминают по-настоящему случайный пароль в 8 символов. Обычно берут случайное слово и слегка изменяют + добавляют спецсимволы. Но софт для перебора паролей умеет делать то же самое и время перебора сокращается на слишком много порядков.

                                Конечно, речь идёт о мастер-паролях, а не о том, что внутри менеджера паролей.
                              • +1
                                Слова необязательно должны быть написаны по всем правилам орфографии. Лучше если будут встречаться заведомо «безграмотные».
                                Речь не про замену буквы «о» нулём, а про неформализуемые искажения, придуманные вам самим. Например, не обезьяна, а аблизяна.
                                • –1
                                  Однако было уже…
                                  1999 Год. Лукьяненко. Фальшивые зеркала.
                                  «Сорок тысяч обезьян в жопу сунули банан.»
                                  • 0
                                    Вы чувствуете, что это ведет к тем же проблемам. Длинный надёжный пароль вводится редко, а после хорошего отпуска он и вовсе растворяется в памяти. Вот придумали вы «аблизяну», а потом гадаете «абельзяна» это была или «бельезяна». Если вы не каверкаете слова до полной неблагозвучности, то энтропия не сильно растёт, а манера каверкать слова скоро с помощью «биг-даты» будет выниматься из ваших блогозаписей, манеры речи с публичных выступлений и дружеских переписок. Я отдаю себе отчет, что стоимость такой атаки весьма высока, но и технологии не стоят на месте. Вектор атаки не предсказуем. Вот в этом посте один из комментаторов очень здорово намекнул о своём пароле. Эти комментарии провисят тут годами и, возможно когда-то кому-то пригодятся вскрыть BTC кошелёк или кейчейн этого человека. Почему нет?
                                    Нет, не надо коверкать слова, если это не помогает запомнить фразу.
                                    Нет, не нужно делать орфографических ошибок, если это не помогает запомнить фразу.
                                    Нет, не нужно использовать отрывки из публичных (и не публичных) текстов, известные фразы.

                                    Нужно генерировать набор слов пока он не покажется вам отлично запоминаемым из-за своей странности, а потом много раз вводить его для запоминания и скорости в приватной безопасной обстановке (поставить на ноут — хорошая идея, если вы пользуетесь им исключительно один или у вас есть настроенный второй профиль для жены и гостей).
                                    Неплохая идея положить его в аварийный кейчейн на случай уж очень мозговыносящего отпуска.

                                    А вообще кейчейны — это наше всё. Я, конечно, же так не поступаю, потому что всё никак руки не дойдут навести в этом порядок, но если бы у меня спросили как лучше, то я бы ответил.

                                    Сгенерить ОЧЕНЬ запоминаемый многословный мастер-пароль. Этот пароль вы не должны забывать никогда. Приучите себя проговаривать его мысленно каждый день перед сном по нескольку раз (если вы не разговариваете во сне=)

                                    Мастер-перолем закрываем аварийный кейчейн с обычными многословными паролями для важных сервисов.
                                    Везде стараемся сохранять пароли в брузере и системных кейчейнах. Это чтобы не забивать память высокоэнтропийным мусором и не запутаться. «Компьютеру-цифровое» — Юлий наш уважаемый Цезарь, кажется сказал.

                                  • +2
                                    средний словарный запас — 10 000 слов

                                    А сколько с падежами/формами глаголов? Если добавить клички животных, фамилии людей?
                                    • +1
                                      Не меньшая, но и не особо большая, да. На самом деле, проблема картинки с xkcd в том, что они полагают скорость перебора в 1000 паролей в секунду, но для web это немыслимо много, а для локального перебора бесконечно мало.
                                      Так что, если утащить список хешей, особенно без соли, и в каком-нибудь SHA, то скорось перебора на средненькой домашней GPU ферме будет порядка N GHash/s (~10^12) и пароли подобные correcthorsebatterystaple раскалываются за единицы минут.
                                      • 0
                                        Для Web это немыслимо много если с одного хоста перебирать. Если же подключить к этому делу ботнет, то всё становится гораздо веселее. И если каждый участник ботнета будет делать паузу после нескольких попыток, то защититься от такого автоматическим баном по IP при нескольких неверных попытках ввода пароля будет нереально.
                                        • +1
                                          Так сам аккаунт залочат. Кроме того, для большинства мелких сервисов 1000 авторизаций в секунду — уже полноценный DoS.
                                          • +1
                                            Добавлю к этому: современные функции хеширования пароля (типа PBKDF2) медленные. Т.е. грузят процессор по несколько десятков или даже сотен миллисекунд. Т.е. сама по себе форма с логином-паролем становится хорошим способом заDoS-ить сервер.
                                      • 0
                                        средний словарный запас — 10 000 слов


                                        Ваша оценка словарного запаса занижена в 4-8 раз, 10 000 — это ученик младших классов, ну или Эллочка.

                                        Вот это исследование говорит о 55-90 тыс для совершеннолетних респондентов (и 90 — это не всплеск. Всплеск — это полулегендарные 180-200 тыс для «Пушкиных»).

                                        По правилам теста слово считалось «знакомым», если респондент мог дать определение хотя бы одному его значению. Чтобы повысить точность теста и выявить респондентов, проходящих его неаккуратно, в тест были добавлены несуществующие слова. Если респондент отмечал хотя бы одно такое слово как знакомое, его результаты не учитывались. В исследовании приняло участие более 150 тысяч человек (из них прошло тест аккуратно — 123 тысячи).
                                        • 0

                                          Да-да-да, "согласно исследованию, проведенному на нашем сайте, 100% населения пользуются интернетом".
                                          Выборка нерелевантна.
                                          Во-первых, используются имена, названия с МАЛЕНЬКОЙ буквы. Как вам слово "вебер".
                                          Во-вторых, используются общепринятые профессиональные сокращения. Больше всего покоробило "вах". То ли "ВАХ", то ли частица "вах"…
                                          В-третьих, используется слэнг и жаргон. "укантрапопиться". "шифрануть".
                                          В-четвертых, неустоявшиеся производные так же считаются новым словом. "обвесовочка".


                                          Таким образом действительно легко набираются 150 000 слов(мой запас, согласно тесту).


                                          Так вот, для пароля, по моему опыту, обычно используются легкозапоминаемые повседневные слова и фразы. Так, по своему опыту сисадминства, могу привести такой пример: "У коня четыре ноги". И каждые 90 дней менялось животное.

                                          • 0
                                            А без парольных фраз люди вообще бывает используют пароль вида «пароль123». Суть же не в этом.
                                            Отсутствие приведенных вами слов в общепринятых словарях как раз таки еще более осложняет задачу подбора, если подходить к созданию пароля грамотно, т.е. в данном случае выступает не дутым поводом для гордости своим словарным запасом, а реальным подспорьем в прикладном вопросе безопасности.
                                            • +2

                                              Вы меня не слышите.
                                              Еще раз: люди ставят галочку напротив слова не потому, что они его знают и напишут при вводе пароля, а потому, что они, по правилам русского языка, догадались что значит это слово.


                                              а вот при выборе пароля, чаще всего, будут использовать легкозапоминаемые повседневные слова и фразы.

                                              • +1
                                                У парольных фраз в России есть фатальный недостаток. Обычно это русская фраза в английской раскладке. Все хорошо, пока клавиатура реальная. Вводить подобные пароли с экрана телефона — это сущий ад.
                                          • 0
                                            "! зиленаяПитерскБронтозябра"

                                            Сильно вам поможет словарь в раскалывании такого пароля?
                                            • +1
                                              вот именно, брутфорс может слова целиком подставлять…
                                              • +1

                                                10000 — средний словарный запас чего? Активный словарь одного, не очень образованного, человека? Но зачем именно свой активный словарь использовать? Берем 4 случайные книги разных авторов и разных жанров, от дамского детектива до хард научпопа, открываем в случайных местах, выбираем случайные слова, отбрасывая заведомо высокочастотные. Таким образом словарь увеличивается до нескольких сотен тысяч, фактически до всех слов языка. Ну и слов может быть не 4, а побольше, не обязательно ориентироваться на умственные способности жены Джеймса Гуделоу (запомнить несколько случайных слов не сложнее, чем столько же случайных цифр, возможно даже легче).

                                              • 0
                                                ох.
                                                использую LastPass (или я бы назвал его LostPass после утечек). Стараюсь генерировать пароль из 32 символов (!ldbPYMTP$7kVpGcW5NZiE1naxNskJ%A — типичный пароль). От важных мест пароль храню в голове только (почта, онлайн банкинг). На каждом сайте свой пароль. И я конечно же их не знаю :)
                                                Заменил бы на похожий сервис но который можно поднять у себя на ВПС на рандомном порте. С клиентами под мобильные ОС и десктопные (как в ownCloud).
                                                • 0

                                                  passbolt (но он тоже поехавший по поводу "правильности" пароля)

                                                  • +6
                                                    KeePass: храню зашифрованную базу в облаке на своем сервере, клиенты есть под все платформы (в т. ч. веб)
                                                    • 0
                                                      У KeePass клиент под мак и iOS довольно грустный, как мне кажется.
                                                      • 0
                                                        под iOS не в курсе, но на маке пользуюсь MacPass, вполне приемлемо
                                                        • 0
                                                          MacPass пару раз закрылся не сохранив базу, рекомендую KeePassCX у него и авто-тайп имеется
                                                        • 0
                                                          Возможно, есть альтеранативные клиенты. Формат базы полностью открыт (сейчас актуальна уже 4 версия формата, но ещё не все альтернативные клиенты адаптировались)
                                                  • +2
                                                    и обновлённый стандарт рекомендует использовать длинные парольные фразы, лёгкие для запоминания, но трудные для брутфорса.

                                                    Эти пароли должны каждый раз вводить, особенно несколько раз на дню и не давать запоминать разным программам?
                                                    MS молодцы — дали возможность подглядеть набранный пароль (часто приходится вводить длинные пароли — вероятность ошибки очень большая)


                                                    Менять пароли теперь рекомендуется только в том случае, если существует вероятность их компрометации, то есть если имеются признаки утечки.

                                                    Обычно пользователь может и не догадаться что его пароль утек.


                                                    Жалко оригинал по подписке, а англояычные статьи ее упоминающие пишут в деталях отличное от Ализара

                                                    • +1
                                                      У длинных парольных фраз есть один недостаток — их долго набирать. И так раздражает необходимость регулярно вводить пароли, а длинные пароли — тем более. Плюс, начинаешь торопиться и набирать быстро, обязательно сделаешь ошибку, придётся перенабирать… короче, я попробовал и тут же бросил. Лучше уж запомнить несколько самых важных случайных паролей из 10-12 символов, а для остального есть менеджер паролей.
                                                      • +5

                                                        Набирать фразы быстрее, там же использует моторика, заточенная под набор обычного текста. А жуткий пароль и набирать сложнее, там каждую букву на клаве искать, да еще и спец символы...

                                                        • +1

                                                          Жуткие пароли тоже бывает делают под моторику пальцев

                                                          • +1

                                                            После 10-20 набора моторика и там начинает работать, разница только в длине.

                                                            • +3
                                                              Особенно на экранной клавиатуре смартфона
                                                            • 0
                                                              У длинных парольных фраз есть один недостаток — их долго набирать.

                                                              Как вариант (возможно — не самый лучший) — составлять пароль не из слов целиком. Помним фразу полностью, но набираем из каждого слова, допустим, буквы с третьей по седьмую. Да, от полного перебора вариантов это защитит хуже целой длинной фразы, зато будут отсутствовать вычленяемые логичные куски (слова).
                                                          • +1
                                                            Перебор по словарю всё равно актуален же. Если не прокатывают слова, то могут прокатить их комбинации. Брутфорс обычно идёт самым последним вариантом же скорее из-за отчаяния, чем с надеждой на результат.
                                                            • 0

                                                              С 4 словами даже по словарю слишком много вариантов.

                                                            • 0
                                                              Например пароль в PayPal ограничен длиной 20 символов. Пришлось существенно урезать парольную фразу, чтобы она влезла в эти рамки.
                                                              • +3

                                                                вот никогда не понимал этот идиотизм в виде ограничения максимальной длины пароля.
                                                                Чрезмерная, блин, забота о пользователях там, где не надо.
                                                                Пользователи — они же малые дети. Всё делают себе во вред и стремятся самоубиться.
                                                                Нужно обязательно за них решить, какой им пароль можно, а какой нельзя.

                                                                • 0
                                                                  Зато не может не радовать возможность в некоторых сервисах, связанных с деньгами, в стране, где основной алфавит латиница, заводить пароль кириллицей.
                                                                  • +3

                                                                    Может быть довольно опасно, если авторы считают, что не существует кодировок кроме latin1 и не слышали про юникод :)

                                                                  • 0
                                                                    А меня еще и ограничение минимальной длины бесит. НУ вот хочу я пароль из 7 символов, но нет же — «минимум 8»… И совсем финиш, когда еще «ой, а спецсимвол? А сбольшая буква и цифра?»
                                                                  • 0

                                                                    Вот кстати да. Давно сами пароли никто не хранит — хранят лишь солёный хэш. Т.е. длина пароля вообще не имеет значения — ну, придётся хэш посчитать от 40 символов, а не от 20 — о чём вообще речь?

                                                                    • 0

                                                                      Комбинаций 40 символов намного больше, чем комбинаций 20 символов. Придётся проверить больше комбинаций, чтобы найти подходящую.

                                                                      • 0

                                                                        Что проверить? Когда пользователь ввёл пароль — от него считается хэш. Всё, дальше пароль не используется, а хэш имеет фиксированную длину.


                                                                        Если 20 символов хватает, чтобы хэш был "случайным" — то чем хуже 40? Почему нельзя позволить?

                                                                        • 0

                                                                          Прошу прощения, понял вопрос не в том контексте (в контексте защиты от перебора). Присоединяюсь к Вашему вопросу.

                                                                          • +1
                                                                            Например, так исторически сложилось и в древние времена там пароль хранился в каком-нибудь varchar(20) в открытом виде.
                                                                            Мне доводилось видеть проекты, где ограничение на длину пароля было обусловлено именно этим, даже после перехода на хеши.
                                                                      • 0
                                                                        Т.е. длина пароля вообще не имеет значения — ну, придётся хэш посчитать от 40 символов, а не от 20 — о чём вообще речь?

                                                                        Ну, при длине в 4096 символов таки есть повышенная нагрузка. Правда это не 20 и даже не 40.
                                                                      • 0
                                                                        20 символов a-z,A-Z,0-9 — это примерно 119 битов для перебора. Кто в своем уме начнет это перебирать?
                                                                        • +1
                                                                          … И перебор завершится примерно на 5..7й попытке. Дальнейшие действия будут игнорироваться. В современной банковской системе аутентификации предусмотривается принудительное снижение частоты и ограничение количества подключений, и количества попыток. Это не говоря уже о 2FA.
                                                                          Брутфорс с 2^28 попыток применим, конечно… но только или к безграмотной системе, или к запароленным файлам или парольным хешам, которые удалось утащить. Во втором случае — более практичное применение имеют rainbow tables. Но в этом случае — никакие длинные фразы, очевидно, никак не помогают.
                                                                        • +1
                                                                          В ICQ когда-то было ограничение длинны пароля 8 символов.
                                                                          В WPS по сути пара из 4х цифр + 3 цифры, которые надо вводить поочереди, можно угадать первые 4 цифры, после чего подбирать оставшиеся 3. И это не в наследнии из лохматых 70х, а в стандарте 2007го года.
                                                                          Эти штуки как будто специально были сделаны для того, чтобы их было как можно проще подобрать
                                                                        • +1

                                                                          Если речь про древние времена, то вспоминаем ограничение на длину пароля. Типа, первые N символов используются, остальные можешь набирать, но они будут отброшены при проверке. Многие системы ДЕЛАЛИ ЭТО %-)
                                                                          Подсчитайте вероятность подбора, если используется только первые 6-7-8 символов из пароля. Требование использовать расширенный набор (заглавные буквы, цифры), несловарные слова и т.п. весьма логично при такой длине, иначе имеем пароль из (максимум) двух словарных слов.

                                                                          • +2
                                                                            О да, клиент ICQ любил это делать (использовались первые 8). Mail.ru, купив ICQ, продолжила традицию — длина пароля увеличилась, но жёстко ограничена 16 символами.

                                                                            Ещё похожим страдает Blizzard — их серверы не придают значения регистру символов в пароле.
                                                                            • 0

                                                                              Я еще смутно припоминаю, что где-то до кучи отбрасывался первый символ (х.з. почему), ну и ограничение по длине там же. Сейчас вряд ли такая система прожила бы и несколько суток без взлома… Публичные сервисы вообще постоянно на прочность испытывают. Даже на местечковой системе, ничем не примечательной, на которой был выставлен наружу порт RAdmin с супер-пупер секурным паролем — ой! Пароль не подобрали, но так старались, так старались… Пришлось фильтровать IP, т.к. недосервер начинало реально плющить, на DDoS было похоже. А тогда можно было и вот так...

                                                                              • 0
                                                                                Проверил про Близзардов, вы правы. Компания с мировым именем в моих глазах упала ниже плинтуса.
                                                                                • 0
                                                                                  Зато от скольки писем в техподдержку WoW из-за зажатого CapsLock они избавились!
                                                                                  • +2

                                                                                    Как вам компания с мировым именем Сбербанк, где пароль в Сбербанк Онлайн для физиков не зависит от регистра.

                                                                                    • 0
                                                                                      В Ситибанке несколько лет назад для защиты от keylogger-ов пароль вводился через «виртуальную клавиатуру» (т.е. на сайте надо было мышкой кликать в нарисованные буковки), и на этой клавиатуре не было смены регистра. Клавиатура давно пропала, на пароли, ясно дело, остались с тех пор case insensitive.
                                                                                      • +1
                                                                                        Компании с мировым именем PayPal и Ebay никак не могут сделать 2-факторную авторизацию. Она есть, но только через аппаратный токен, причём, даже если вы заполучили токен, но живёте «не в той стране», то применять его не сможете.

                                                                                        Тот же Сбербанк отказался от 2-факторной авторизации с помощью одноразовых паролей, печатаемых банкоматами. Теперь только по СМС (вспоминаем массу историй о том, как в салонах сотовых операторов легко выдают мошенникам дубликаты сим-карт по липовым доверенностям).
                                                                                        • 0
                                                                                          https://vip.symantec.com/ в виде (как минимум андроид-) приложения прекрасно регистрируется и работает с пейпалом. Другое дело, что ебей, принадлежащий пейпалу же, не способен спросить, от какого именно токена из нескольких зарегистрированных придет код — и ждет только от железного…
                                                                                          • 0

                                                                                            Сбербанк и только по СМС.


                                                                                            С тем же Сбербанком несколько недель назад у меня было очень весело (очень грустная рожица)


                                                                                            Из группы зеленых токенов для входа в Сбербанк Бизнес Онлайн один токен перестал работать, хоть он и вставлен и правильно воспринимался пин код, но на этапе авторизации по логину и паролю сайт выдавал сообщение вставьте ключевой носитель и запустить ...EXE.
                                                                                            Пока искал телефон техподдержки набрел на домене сбербанка на Новый Бизнес онлайна. К моему удивлению я туда зашел по логину и паролю (который вводил ранее, но не мог войти). Зашел и мог совершать просмотр движений средств БЕЗ вставленного токена и БЕЗ получения sms пароля. То есть любой узнавший пароль и логин мог это делать (это к только по СМС)
                                                                                            Логин не имел прав подписания и не имел сертификата, ему нужен только просмотр.


                                                                                            p.s. Техподдержка две недели не могла дать ответ что за дела с токеном. На прошлой неделе дошли руки пробывать снова — авторазиция заработала и на попытку входа без вставленного токена стало выходить сообщение что работать нужно только запуском файла EXE. На сайте было написано что проводили техработы.
                                                                                            От техподдержки никаких ответов на обращение что за дела, в том числе про такую авторизацию не получил.

                                                                                          • 0
                                                                                            компания с мировым именем SAP на их саппорт сайте требует ввести пароль из строго 8 символов, не меньше и не больше :)))
                                                                                            подозреваю, что пароли у них хранятся не хешированные.
                                                                                          • 0
                                                                                            Вконтакте вообще не делает разницы в раскладке. Если в качестве логина использовать номер телефона, то подойдёт и привет и ghbdtn
                                                                                          • 0

                                                                                            А у меня, почему-то, придают.

                                                                                            • +1
                                                                                              Только что специально проверил на battle.net, приведя свой пароль (случайный набор букв разного регистра, цифр, спецсимволов) к нижнему регистру — пустило.

                                                                                              У вас прикреплён мобильный аутентификатор? (вдруг для учётных записей с 2-факторной авторизацией требования к паролю мягче).
                                                                                        • 0
                                                                                          Так и представляю себе обычного пользователя (не продвинутого).
                                                                                          Он сейчас 8-ми символьный-то пароль набирает утром с трудом и умудряется ошибиться несколько раз подряд (вплоть до автоматической блокировки учётки).

                                                                                          А теперь он точно НЕ с первой, а дай бог с третьей, попытки войдёт в систему. :)
                                                                                          • +4
                                                                                            Ох, как же я ненавижу этих дебилов, которые распространили правила паролей про всякие символы и разные регистры… Мне в одном только в этом году стало обязательно получить аккаунты на 100500 разных сайтах, где-то инфа по зарплате, где-то по мед. страховке, где-то аккаунт для выплат за электричество, за домашний интернет, у мобильного оператора свой сайт, про банки, амазоны и пэйпалы всякие я вообще молчу.

                                                                                            В итоге, я постоянно жму на восстановление пароля, хотя использую в 90% мест один и тот же, но где-то надо добавлять ему прописную букву, цифру, а где-то ещё восклицательный знак. Всяким ласптассам не доверяю, все чувствительные аккаунты типа почты и банка имеют уникальные сложные пароли. На gmail вообще пароль из 23 букв, благо там не требуется разные символы иметь в нём. Подобрать пароль нельзя, так как среди цепочки обычных слов вставлены слова бессмысленные, но выговариваемые (взятые из случайно сгенерённых паролей в прошлом).

                                                                                            Если меня хакнут, то явно через заражение компа, а не через брутфорс пароля. А тут уж ничего вообще нельзя сделать, 100% гарантии не даст никто (двухфакторная авторизация не везде заведена, увы).
                                                                                            • 0
                                                                                              В итоге, я постоянно жму на восстановление пароля

                                                                                              Я тоже. И каждый раз хочу роскомнадзорнуться, когда мне пишут при восстановлении «этот пароль уже использовался за последние 10 лет!». После третьего восстановления уже проще сайтом не пользоваться, чем что-то выдумывать.
                                                                                              • 0
                                                                                                Всяким ласптассам не доверяю

                                                                                                используйте keepass тогда.

                                                                                                • 0
                                                                                                  Keepass + кинуть зашифрованный файлик в гугл докс, а открывать только с телефона чтобы мастер пассворд не стырили. Вполне нормальный вариант. У меня ярлычок на главном экране одним тапом открывает, удобно.
                                                                                                • 0
                                                                                                  > Мне в одном только в этом году стало обязательно получить аккаунты
                                                                                                  У вас раньше никогда небыло интернета :)?
                                                                                                • +5
                                                                                                  Кое-кто в 1999 году уже рекомендовал. «Сорок тысяч обезьян...»
                                                                                                  • 0
                                                                                                    Было у Лукъяненко во 2-й книге «Лабиринт отражений». Один на всех?
                                                                                                    • +1
                                                                                                      Вы про пароль или про банан?
                                                                                                      • 0
                                                                                                        Фраза из книги
                                                                                                    • 0
                                                                                                      Да нифига — он назвал этот пароль ламерским :)
                                                                                                      • 0
                                                                                                        «Один на всех?»
                                                                                                        • 0
                                                                                                          мне больше интересен другой пароль оттуда же…
                                                                                                          • +1
                                                                                                            Пароль Падлы?:)
                                                                                                            • +1
                                                                                                              К сожалению сие осталось тайной. Думаю что даже сам Автор не знает этого пароля, только его воздействия на персонажей (тупняк и глазки в кучку при осмыслении)
                                                                                                          • 0

                                                                                                            Сама идея запоминания пароля в глобальном смысле порочна и так или иначе она уйдет в прошлое. Человек по определению не может быть быстрее и умнее компьютера.


                                                                                                            Либо пользователь сам должен быть себе паролем (пальцы+лицо в мимике+голос+%прочие уникальные факторы%) либо мы должны полностью отказаться от конфиденциальности и перейти от секретности к ответственности за доступ к информации. Утопично, но, кажется, в Эстонии работает электронное государство именно так.


                                                                                                            И самый, конечно, омерзительный момент в использовании длинных паролей — ограничение на максимальную длинну пароля, которое устанавливает каждый сервис как хочет. Сороктысячобез… все, длинна пароля кончилась. Запоминай на какой букве ты остановился на этом сайте.

                                                                                                            • +2
                                                                                                              Проблема любых уникальных факторов человека в том, что они легко компрометируются и никак не меняются. А вопрос подделки голоса или лица в мимике — это уже давно не проблема.
                                                                                                              • 0
                                                                                                                del
                                                                                                              • –2
                                                                                                                Мне больше по душе аутентификация по распознанному образу. За этим — будущее. Сел и автоматически прилогиниваешься. Встал, ушел — и автоматически разлогинивается. Чем плохо?
                                                                                                                • +2
                                                                                                                  Хм… Аутентификация по отпечатку задницы со встроенным в кресле сканером? Отличная идея, мне нравится!
                                                                                                                  • 0
                                                                                                                    При этом так просто скопировать «отпечаток» не получится как с пальцем, например с ручки двери. И, если зад уже скомпрометирован, то «протез» получится большой и незаметно пронести на особо охраняемый объект будет значительно сложнее.
                                                                                                                    • 0
                                                                                                                      А зачем кому-то проносить зад? Отдерут со стула датчик и при помощи программки на ардуино (непременно входящей в метасплойт) воспроизведут нужные циферки. То же и с пальцем.
                                                                                                                • 0
                                                                                                                  Всегда применял комбинированный подход для тех мест где важна надежность пароля. Что-то в духе T0aster_of_the_N1ght. Запоминается легко, цифры и спецсимволы стоят по вполне понятной логике.
                                                                                                                  • +2
                                                                                                                    Эх, я бы с радостью вообще везде использовал фразу из нескольких слов, но на некоторых (даже весьма популярных) сервисах пароли длиннее 16 символов тупо не разрешают (точно было у Microsoft, и кажись у Origin).

                                                                                                                    P.S. Немного офф: причем у Origin (опять же если я их не путаю с кем-то другим) невалидными на фронтенде считались пароли "> 16", а на бекенде ">= 16". При этом у меня пароль был ровно 16 символов. И я долго не мог понять, почему я не могу зарегистрироваться (ошибка от бекенда была неговорящая — видимо, считали, что фронтенд все и так обрабатывает, как надо). Потом я как-то методом тыка догадался. И тут же написал в саппорт. Увы, но там так и не смогли понять проблему (тон вообще сводился к тому, что, мол, вы же зарегистрировались, что вам еще нужно). Так что вот, такие вот дела с длинными паролями…
                                                                                                                    • –3

                                                                                                                      Судя по фото, туда уже выехала полиция стиля, модный приговор и иже с ними. Почему за границей женщины так плохо одеваются? Чего одни уродские черные чулки и сапоги, в которых у нас бухгалтерши зимой в госучреждениях весь день ходят, стоят. Зато европейские мужчины наоборот, образец стиля...

                                                                                                                      • 0
                                                                                                                        Почему Вы американку противопостовляете «европейским мужчинам»? И о какой части Европы идёт речь? Скажем англичане от итальянцев отличаются. Итальянцы от итальянцев отличаются. О ком речь?
                                                                                                                        Да и данный пример — просто стёбная одежда. Мне нравится.
                                                                                                                        • 0

                                                                                                                          Платье понятно, я про черные чулки и зимние сапоги под летний сарафан. Так внимание не привлечь...

                                                                                                                          • 0
                                                                                                                            Эмансипация. Привлекают интеллектом.
                                                                                                                      • +2
                                                                                                                        Вообще странно видеть его сожаления. В 2003 году мощности были другие, софт был другой и цели были другие.
                                                                                                                        Точнее:
                                                                                                                        — в 2003 случаев утекания паролей и выкладывания 100 500 000 000 самых популярных паролей было мало. Я не помню ни одного. Просто банально потому, что интернет был в зачаточном состоянии. В 2000 мне надо было забрутфорсить пароль к архиву. Хозяин забыл его, так я нашёл утилиту и к ней шёл словарь на 200 000 слов (включая популярные пароли липа «p@$$w0rd». Утилиту вроде наши написали. Скорость подбора была чудовищна, а он ещё и цифры добавил.
                                                                                                                        — Государственные компании США даже сейчас, а тогда тем более, работали с таким легаси, когда иногда поле ввода паролей было сильно ограничено. Скажем я встречался с продуктом, в котором пароль это скорее пинкод. 6 цифр.
                                                                                                                        — Он боролся с засильем «1234», «password» и прочим. Думаю, совершенно очевидно, что "%fU-Rt71$" гораздо сложнее боле длинного «passwordpassword». Не для брутфорса, а для запоминания, подглядывания и словарного перебора.
                                                                                                                        Так что не о чем сожалеть. Это, пусть и не идеальный, но стандард, который был принят во время. Дальше можно его развивать, но шаг был правильный.

                                                                                                                        Вообще парольная защита, как мне кажется, отжила своё. пароли в 20 случайных символов запомнить сложно, особенно если часто менять. Брутфорсить скоро их станет очень просто.
                                                                                                                        Я довольно скептически отношусь к рекомендации использовать парольные фразы. Как только такие пароли станут популярными, тут же брутфорс будет делаться и по ним. Может уже и делается — я просто не в курсе. И тогда «правильно лошадь батарея скрепка» будет не более стойкий, чем тот трубадур.

                                                                                                                        Я, помнится, какое-то время имел пароли из песенок. К примеру «IzZaOsNaStNaPrReVo» — составлен из первых букв песенки про Степана Разина. Легко запоминается, словарно не подбирается. Но потом стал сталкиваться с проблемами типа
                                                                                                                        — админы вводят требование менять пароль каждые 3 месяца. И тут как по статье — добавляем счётчик
                                                                                                                        — некоторые сервисы ограничивают длину
                                                                                                                        — некоторые требуют добавления разных символов (цифры, спец) и тут надо запоминать где ты добавил "$5" а где нет. И куда добавил — в начало или конец.

                                                                                                                        Короче, должно быть другое решение. Я его пока не нашёл, мучаюсь с KeePass.
                                                                                                                        Почему мучаюсь? Ну хотя бы в винду я его ввести не могу. Ну и некоторые сервисы не дают копипастить пароль в форму. На телефоне проще — отпечаток пальца. Или там роговицы снимок.
                                                                                                                        • 0

                                                                                                                          Для паролей такого типа стойкость посчитана же… Так что что касается брутфорса — всё упирается в количество слов. В первом приближении одно слово такого пароля заменяет два символа в пароле с буквами, цифрами и знаками препинания — если, конечно, оба сгенерили случайно. А запомнить легче.

                                                                                                                          • 0
                                                                                                                            Запомнить легче, а ввести сложнее. Особенно, когда вводить на телефоне с маленькой клавиатурой.
                                                                                                                            Ну и как я упомянул, не везде ити 40-50 символов влезут.
                                                                                                                            • 0
                                                                                                                              Вот про «влезание» 40-50 символов как раз и вопрос — почему бы их не позволить?

                                                                                                                              Ввести сложнее — да (хотя как раз на экранной клавиатуре возня с переключением регистров для ввода цифр и знаков препинания тоже замедляет ввод). Теоретически — можно было бы сделать специальную «клавиатуру» для удобного ввода паролей из фиксированного набора слов. Или иметь возможность ввести пароль как в виде пачки слов (легко для запоминания), так и в «абстрактном» виде (смутно помню, что какой-то вариант OTP отдавал пароли в двух видах: N слов из словаря на 4096 элементов или 3*N 16-ричных цифр, но не могу найти, какой).
                                                                                                                              • 0
                                                                                                                                Как только будет клавиатура с набором слов, тут же кейгены будут работать с этим набором. Для удобного и быстрого набора список большой держать неразумно. А небольшой список — это получается пинкод.
                                                                                                                                • 0
                                                                                                                                  Дык пожалуйста. Стандартный набор из 4096 слов — по сути, 12-битные символы. Полный перебор.
                                                                                                                                  Я говорил об удобном способе набора именно этих слов (в 2-3 тапа каждое)
                                                                                                                                • 0
                                                                                                                                  Вообще в пинкодах нет особого зла. На карточке 4 цифры. 10 000 комбинаций.
                                                                                                                                  Проблема скорее в интерфейсе. Он должен работать по стандартам, которые исключают брутфорс. Как те же кредитки. 3 неправильный попытки — блок. Или помягче. 3 неправильных попытки — отдыхаем час. Потом — сутки и проч. Но это надо иметь доверенный сервис аутентификации.
                                                                                                                            • 0
                                                                                                                              Токен Yubikey, аппаратная кнопка, можно настроить на два разных варианта аутентификации и, среди них, есть ввод простой текстовой строки — как раз логина в винде или мастер-пароля в какой-нибудь кипас идеально.
                                                                                                                            • 0
                                                                                                                              Сорок тысяч обезьян и парольчик про банан
                                                                                                                              • 0
                                                                                                                                Грубейшее нарушение техники безопасности конечно

                                                                                                                                «Менять пароли теперь рекомендуется только в том случае, если существует вероятность их компрометации, то есть если имеются признаки утечки.»

                                                                                                                                Т.е. можно будет зайти по кредам годичной и более давности. Так нельзя)
                                                                                                                              • 0
                                                                                                                                Вообще этому всему очень не хватает идеи о разделении уровней доступа к аккаунту. К примеру, если я хочу через свой клиент-банк пополнить свой же счет мобильного или заплатить комуналку за свою квартиру (за которую я платил уже 200 раз), то мне достаточно ввести какой-нибудь трехциферный пароль. А вот когда я захочу снять со своего счета все деньги и отправить в офшор на Кипр — то должен ввести огромный основной пароль + двухфакторную авторизацию пройти.
                                                                                                                                • 0
                                                                                                                                  Для этого есть антифрод и другие системы на бэкенде. Например, когда я впервые перевел 150 руб. на благотворительность, мне перезвонили из банка. В тот же день. И проверили не только второй фактор (доступ к телефону), но и третий (персональные данные), и четвертый (секретный вопрос), а может и пятый (характеристика голоса)
                                                                                                                                  Ну и лимиты на операции, явное оповещение об использовании зарубежом заранее и другие меры.
                                                                                                                                  • +1
                                                                                                                                    Странный банк у вас. Как можно во ВХОДЯЩЕМ звонке кому-то рассказывать персональные данные или ответ на секретный вопрос?
                                                                                                                                    • –2
                                                                                                                                      Я ведь тоже убедился, что разговариваю с банком :) Звонок с номера банка, представляется как принято в этой конторе, сообщает детали платежа, неизвестные постороннему, спрашивает строго по списку авторизации (процедура проверки такая же, как при звонке в банк)
                                                                                                                                      Если честно, я не помню, спрашивал ли я внутренний номер оператора, чтобы перезвонить самому. Скорей всего да, но врать не буду.
                                                                                                                                      • +1
                                                                                                                                        Ну, не знаю. Если это ещё и НАСТОЯЩИЙ звонок был, я б в таком банке счёт бы на следующий день закрыл. Это на всю голову нарушение секьюрности.
                                                                                                                                        • +1
                                                                                                                                          А теперь представим себе, что вам звонил человек, который взломал и контролировал (или даже не взломал, а изначально для этих целей создал) сайт, на который вы эти 150 рублей отправили, заодно оставив на нем свой номер телефона.

                                                                                                                                          Номер карты он знает, т.к. вы его ввели на сайте. Соответственно, банк он определил по первым цифрам номера. Имя и фамилию он знает, т.к. вы их тоже вводили в форму оплаты. Представиться так, как принято в каком-либо банке, не сложно, для этого достаточно туда позвонить и выслушать приветствие оператора, то же самое и с процедурой верификации персональных данных пользователя. Детали перевода злоумышленнику известны, т.к. вы только что ему же эти деньги и перевели. Внутренний номер оператора спросит один из ста, а перезвонит по нему один из ста спросивших, т.е. практически никто. Про подмену номера звонящего говорить надо?

                                                                                                                                          И вот, у злоумышленника есть не только данные карты, но и паспортные данные ее владельца, и ключевое слово.
                                                                                                                                  • +1
                                                                                                                                    а суровые чёрные сапоги символизируют брутфорс?
                                                                                                                                    • 0
                                                                                                                                      Password Manager от гугла вам в помощь.
                                                                                                                                      • 0
                                                                                                                                        Теперь использовать слова: «низач0д», «стопицот» рекомендовано?
                                                                                                                                        • –1
                                                                                                                                          Почему никто не вспомнил о таком простом способе, вроде пароля:
                                                                                                                                          Ghbvth_ghjcnjuj_gfhjkz_yjvth_1
                                                                                                                                          Просто запоминается, словарь в общем бесполезен. Можно усложнять опечатками или изменением источника, метода создания
                                                                                                                                          • +1
                                                                                                                                            И он тоже считается словарным. Кроме того на мобильнике не набрать его.
                                                                                                                                            • 0
                                                                                                                                              Перебор всех словарей мира уже достаточно длительная задача.
                                                                                                                                              А еще есть транслит:
                                                                                                                                              lfc_bcm_afynfcnbi
                                                                                                                                              или в немецкой раскладке:
                                                                                                                                              lfc_bcm_afznfcnbi
                                                                                                                                              В принципе любой способ — перебор букв.

                                                                                                                                              P.S.На телефоне — дело привычки.
                                                                                                                                              • +2
                                                                                                                                                http://forensics.ru/InFuWo.htm байка 2.7 — там основы.
                                                                                                                                                • 0
                                                                                                                                                  Так тогда любой набор символов по сути есть в любом словаре. Чем комбинация слов отличается от комбинации знаков?
                                                                                                                                                  • +1
                                                                                                                                                    Словарь — готовый набор популярных слов в паролях, а не просто набор всевозможных комбинаций знаков. Он гораздо меньше по об'ёму. С этими словами можно проводить всякие модификации — складывать их вместе, ставить заглавные буквы в произвольные места, заменять буквы на цифры/символы.
                                                                                                                                                    Вот вроде неплохая статья.
                                                                                                                                            • 0
                                                                                                                                              Многие сервисы принудительно заставляют использовать цифры/спецсимволы при создании пароля, не поддерживают кириллицу, пробелы, а также имеют ограничение длины порядка 16-20 символов. В таких условиях придётся подстраиваться под требования каждого сайта и придумывать уникальные варианты.
                                                                                                                                              • +1
                                                                                                                                                Мне всегда было интересно, а как они считают биты энтропии? Скажем, в слове «пароль» — как посчитать?
                                                                                                                                                • 0
                                                                                                                                                  ad637912a0a15584b06fc033449178f627b82d8b847c3cedc54a42785b6d2111
                                                                                                                                                  типичный легко запоминаемый пароль
                                                                                                                                                  • 0