«Ваш пароль повинен містити як мінімум одну цифру, букву в верхньому регістрі, а також не-буквений символ», - ці та подібні вимоги до паролів, як і чинне в багатьох корпораціях правило міняти їх кожні кілька місяців, не взяті «зі стелі» . Їх сформулював 15 років тому співробітник Національного інституту стандартів і технологій (NIST) США. І тепер він глибоко шкодує про скоєне.
72-річний Берр зізнався в інтерв'ю The Wall Street Journal. що ніколи не був експертом з кібербезпеки, і ніколи толком не розбирався в паролі, не кажучи вже про психологічні аспекти кібербезпеки. За його словами, при підготовці свого керівництва він взяв за основу документ, написаний ще в 80-х. У ті роки до масового поширення інтернету було ще далеко, і ніхто не міг уявити, скільки різних паролів доведеться створювати і запам'ятовувати мільярдам людей на планеті.
Тепер рекомендації NIST помінялися. Замість відносно короткого, але складно запам'ятовується пароля з «абракадаброю» з цифр і символів інститут радить використовувати довгі фрази зі звичайних слів. Адже зі збільшенням числа символів в паролі час, необхідний на його автоматизований підбір при зломі, зростає експоненціально.
Що стосується вимоги міняти пароль кожні кілька місяців, часто застосовується в корпоративних комп'ютерних системах, то воно також не сильно сприяє підвищенню безпеки. Переважна більшість користувачів, змінюючи пароль, просто замінюють в ньому один символ, як правило, цифру - в результаті підібрати його, знаючи старий варіант, можна дуже швидко.
Джерело: The Wall Street Journal