(Перевод статьи из журнала Wired. Оригинал – Want Safer Passwords? Don’t Change Them So Often)
Системные администраторы и IT-менеджеры всего мира, друзья мои, нам нужно поговорить.
Я понимаю, что вы движимы наилучшими побуждениями. Я знаю, вам кажется, что это во благо. Но когда вы требуете чтобы ваши коллеги меняли пароли чаще, чем меняются сезоны года – вы не просто сводите их с ума, вы ухудшаете безопасность всей системы.
Если вы решили, что я – просто очередной недовольный пользователь, который устал менять местами цифры с буквами, знайте, вам не обязательно верить мне на слово. На самом деле, вам вообще не стоить мне верить. Верьте науке.
Лорри Крэйнор – ведущий IT-специалист FTC и профессор информатики в Университете Карнеги Меллон – отмечает, что, согласно недавним исследованиям, если заставлять людей часто менять пароли, они не будут особо над ними задумываться. Наоборот, утверждает Крэйнор, согласно одному из исследований UNC, пароли часто “следуют предсказуемым шаблонам, так называемым ‘трансформациям’, например, увеличиваемое с каждым новым паролем число, замена буквы на похожий символ ($ вместо S), добавление или удаление символов (например, два восклицательных знака в конце пароля вместо трех), или изменение порядка цифр или символов (число в начале пароля вместо конца).”
Звучит знакомо, не так ли? Если нет, то вы – герой паролей, достойный восхваления и подражания. Но для нас простых смертных такие “трансформации” – давно привычный способ пережить очередную утомительную смену пароля. И, учитывая устройство человеческого разума, нас можно понять.
“Я прекрасно понимаю [необходимость надежных паролей], я очень внимателен к ней, но мне все равно тяжело придумывать новый пароль,” говорит Крэйнор. “По существу, мы просим людей придумать что-то непредсказуемое, и по определению мне будет тяжело не только это запомнить, но скорее всего и придумать тоже.”
Ну и что, вы можете сказать. Если что-то тяжело сделать – вовсе не значит, что это делать не стоит. Справедливо. К сожалению, менять пароли каждые 60 или 90 дней не всегда правильно, особенно если они надежные, утверждает исследование от Карлтонского Университета.
“В наши дни, если у злоумышленника есть доступ к хэшу пароля, оффлайн-атаки смогут подобрать подавляющее большинство паролей,” пишет Крэйнор для FTC. “Карлтонское исследование показывает, что частые смены паролей практически не мешают таким атакам – не так сильно, чтобы оправдать причинение постоянных неудобств пользователям.”
Вот так! Даже если прилежно и часто менять пароли, большой выгоды это не принесет.
Тогда почему же, несмотря на все аргументы и исследования, мы продолжаем так часто менять пароли? Во-первых, говорит Крэйнор, системные администраторы не могу читать каждое новое исследование о кибер-безопасности. Когда-то ведь и жить надо! А даже если вы и читаете каждое исследование, применить его в работе не так просто.
“Мне говорят, ‘Если со стороны выглядит, как будто я ухудшаю безопасность системы, у людей возникают вопросы.’” рассказывает Крэйнор. “Объяснять, почему я усиливаю меры безопасности, никогда не приходится. А вот чтобы ослабить их, потребуется хорошее оправдание.”
Но помните: на самом-то деле вы только улучшаете безопасность! И за вашей спиной – доктора наук.
С другой стороны, никогда не менять пароли тоже не стоит. “Имея надежный пароль, нет никакого смысла менять его каждые несколько месяцев,” пишет эксперт безопасности паролей и автор книги Perfect Passwords Марк Бернетт. “От шести месяцев до года – наилучший период, приводящий к более довольным пользователям и усиленным паролям.” Просто представьте, как спокойнее все будут, целый год не видя сообщение “Необходимо сменить пароль”!
И если, по какой-либо причине, вы не можете расстаться с частыми сменами пароля, Крэйнор предлагает, по крайней мере, предложить коллегам использовать какой-нибудь менеджер паролей, например LastPass или 1Password. Они не идеальны, но могут быть “приемлемой стратегией”, в основном потому, что не придется искать компромисс между непредсказуемым паролем и необходимостью его запомнить.
Ради всех нас (и вас), для начала почему бы не убедиться, что пароли у всех надежные, а потом – просто оставить их в покое?
Спасибо за внимание.