![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
schegloffВ ТРИЗ существует хорошая метафора - "иногда более сложную задачу решить легче, чем менее сложную". Подобрать пароль 202cb962ac59075b964b07152d234b70 мало кто сможет, но если знать, как он сгенерирован, то подбор становится тривиальным.
Поэтому умные люди давно заложили уменьшение энтропии паролей в алгоритмы их генерации:
1) Встраиваем бэкдор в публичный ключ RSA
2) Билл Бёрр рекомендовал чередовать цифры, специальные символы, строчные и прописные буквы, а также периодически менять пароли...
эти рекомендации неправильные, они вовсе не способствуют повышению компьютерной безопасности.
Во-первых, как уже отмечалось выше, они обеспечивают меньшую энтропию, чем длинные парольные фразы, при этом их гораздо труднее запомнить. Попробуйте запомнить беспорядочный набор символов в верхнем и нижнем регистрах, перемешанные с цифрами.
Во-вторых, особенно неправильной оказалась рекомендация менять пароли каждые 90 дней. Если хотя бы один сложный пароль из букв с цифрами пользователь может запомнить, то как ему изменить его через 90 дней и запомнить новый пароль? Как показала практика, большинство людей решают эту проблему самым логичным способом: они делают минимальные изменения в пароле. Например, просто меняют последнюю цифру, прибавляя единицу: Pa55word!1, Pa55word!2, Pa55word!3 и так далее. Это совершенно не способствует повышению безопасности.
До прочтения статьи № 2 я думал, что пароли бывают либо те, что легко запомнить, но можно взломать, либо те, которые нельзя взломать, но невозможно запомнить. Оказывается, основная масса паролей в мире (спасибо лично Биллу Бёрру) - те, которые легко взломать и трудно запомнить.
И это за 20 лет до восстания роботов!
Поэтому умные люди давно заложили уменьшение энтропии паролей в алгоритмы их генерации:
1) Встраиваем бэкдор в публичный ключ RSA
2) Билл Бёрр рекомендовал чередовать цифры, специальные символы, строчные и прописные буквы, а также периодически менять пароли...
эти рекомендации неправильные, они вовсе не способствуют повышению компьютерной безопасности.
Во-первых, как уже отмечалось выше, они обеспечивают меньшую энтропию, чем длинные парольные фразы, при этом их гораздо труднее запомнить. Попробуйте запомнить беспорядочный набор символов в верхнем и нижнем регистрах, перемешанные с цифрами.
Во-вторых, особенно неправильной оказалась рекомендация менять пароли каждые 90 дней. Если хотя бы один сложный пароль из букв с цифрами пользователь может запомнить, то как ему изменить его через 90 дней и запомнить новый пароль? Как показала практика, большинство людей решают эту проблему самым логичным способом: они делают минимальные изменения в пароле. Например, просто меняют последнюю цифру, прибавляя единицу: Pa55word!1, Pa55word!2, Pa55word!3 и так далее. Это совершенно не способствует повышению безопасности.
До прочтения статьи № 2 я думал, что пароли бывают либо те, что легко запомнить, но можно взломать, либо те, которые нельзя взломать, но невозможно запомнить. Оказывается, основная масса паролей в мире (спасибо лично Биллу Бёрру) - те, которые легко взломать и трудно запомнить.
И это за 20 лет до восстания роботов!
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2018-02-17 06:09 am (UTC)В применение к безопасности это звучит так: "Всякая мера, повышающая безопасность - снижает удобство, но есть миллион способов сделать неудобно, не повышая безопасности".
При этом субъективно люди считают, что если им специально сделали неудобно, значит - заботятся о безопасности.
Шнайер называет это "security theater"
no subject
Date: 2018-02-17 06:12 am (UTC)немного истории:
Date: 2018-02-17 09:24 am (UTC)2) на старых windows (до w2k ?) максимальная значащая длина пароля - 14 (четырнадцать) символов, и на это надо было специально настраивать.
поэтому посыпание головы пеплом не имеет смысла (если не является лицемерием или обманом).