В последнее время я часто делюсь своими мыслями о паролях. Здесь у нас абсолютный краеугольный камень безопасности — парадигма, которую понимает каждый человек с онлайновым аккаунтом — и в то же время мы видим фундаментально разные подходы к этому вопросу со стороны разных сервисов. У некоторых есть строгие правила по сложности паролей. У других небольшая максимальная длина. Некоторые не разрешают копировать из буфера обмена. Другие заставляют регулярно менять пароль. Такая несуразица повсюду.

В прошлом году я писал руководство по аутентификации в современную эпоху и говорил о многих вышеупомянутых требованиях. В частности, я обращал внимание на то, как современные представления противоречат многим традиционным представлениям о правильной работе с паролями. В той статье обильно цитируются руководства от британского центра по кибербезопасности NCSC и американского NIST — и в ней развенчиваются многие из старых мифов. Избавьтесь от правил сложности, разрешите длинные пароли, не запрещайте копировать из буфера обмена и откажитесь от обязательной смены паролей. Однако там нет ничего относительно минимальной длины, и это заставило меня задуматься — какое число будет правильным?

Когда я проводил занятия «Взломай сначала себя», то одним из первых задавал вопрос: «Каково правильное значение минимальной длины пароля?» Я снова думал об этом на этих выходных, во время работы над второй версии сайта Pwned Passwords, потому что подумал, что можно использовать ограничение на минимальную длину, чтобы уменьшить размер набора данных. Вместо того, чтобы проецировать своё мнение по данному вопросу, я решил пойти и проверить, как обстоят дела на крупнейших сайтах. Вот топ-15 с резюме и некоторыми дополнительными комментариями:

Google

Facebook

Описание немного вводит в заблуждение. Там написано, что пароль должен быть длиннее, чем 6 символов. На самом деле он должен быть 6 символов или длиннее.

Wikipedia

Удивительно, но у Wikipedia минимальный критерий… вы просто должны указать какой-нибудь символ. Этого достаточно.



Но чёрт побери, это значительный прогресс по сравнению с тем, что было раньше:


«По крайней мере, Википедия отказалась от пустых паролей по причинам безопасности».

Reddit

Yahoo

Не заявляя этого явно, Yahoo требует пароля хотя бы 8 символов, чтобы соответствовать критерию по минимальной длине:

Amazon

Twitter

Microsoft

Instagram

Netflix

Netflix разрешает сверхкороткие пароли всего из 4 сиволов. Возможно, одна из причин в том, чтобы упростить ввод пароля с телевизионного пульта.

LinkedIn

Twitch

Pornhub

Ebay

imgur

Резюме

Выложим все результаты в одной таблице:

Google	8
Facebook	6
Wikipedia	1
Reddit	6
Yahoo	8
Amazon	6
Twitter	6
Microsoft	8
Instagram	6
Netflix	4
LinkedIn	6
Twitch	8
Pornhub	6
Ebay	6
imgur	6

Удивлены? Многие люди выберут пароль из 6 символов, потому что он кажется коротким. 9 из 15 сайтов разрешают пароли из 6 символов, 4 сайта требуют минимум 8 символов, а есть ещё Netflix с минимальным ограничением в 4 символа и Wikipedia, ну, давайте не будем упоминать их ограничение… А вот мои мысли по этому поводу:

В каждом случае минимальная длина пароля — это чётное число! По вашему, насколько научно обоснован процесс определения идеальной минимальной длины, если все большие игроки просто приземлились на 4, 6 или 8?

Ни у кого нет 5 или 7, или 9, только красивые, приятные, симметричные чётные числа. Так что вот первый проницательный вывод из наблюдения — здесь определённо не замешана никакая наука.

Но есть кое-что ещё, и я много раз повторял это в статье с руководством по паролям в современную эпоху: аутентификация сегодня — это гораздо, гораздо больше, чем просто сравнение двух строк. Так оно было поначалу — у вас было имя пользователя и пароль, и если оно совпадало с тем, что хранилось в системе, то вас пускали в систему. Но сейчас мы далеко ушли от такого подхода.

Например, у нас двухфакторная аутентификация. Да, ею пользуется пугающе мало людей, но сейчас это доступная технология контроля безопасности на массовом рынке, и у нас есть доступ ко всем видам сервисов, которых не существовало даже пять лет назад. Мы также начинаем лучше понимать поведение пользователей при выборе паролей; в этом весь смысл проекта Pwned Passwords — признать, что люди принимают дерьмовые решения в области безопасности! Давайте выявим их на раннем этапе и поможем людям сделать правильный выбор (т. е. «тебе действительно не следует использовать такой пароль...»).

Затем есть элементы управления, основанные вокруг эвристик других пользователей, например, требование верификации через зарегистрированный адрес электронной почты, если пользователь пытается авторизоваться из необычного места (вы могли видеть, как Facebook раньше делал такое). То же самое при использовании нового браузера — это может привести к снижению доверия, из-за чего требуется дополнительная верификация. На самом деле, вся предпосылка «доверия» становится особенно важной, когда мы уходим от этого бинарного состояния: разрешить или запретить доступ. Попробуйте походить по разным сайтам через Tor — и вам придётся доказывать, что вы человек, потому что, как выяснилось, плохие парни особенно любят использовать инструменты анонимности.

Смысл всего этого в том, что вы больше не можете просто посмотреть на минимальную длину пароля и сказать: «Ай, шесть символов — или даже четыре — это слишком мало», потому что схемы аутентификации могут быть гораздо более продвинутыми, чем просто сравнение двух строчек. Это не значит, что всегда правильно использовать эти красивые чётные числа — есть много сайтов, которые не используют никаких продвинутых средств, а только сравнение строк — но надеюсь, это обеспечит пищу для размышлений.

О, и если вы действительно найдёте сайт с нечётным числом в качестве минимальной длины пароля, то оставьте комментарий ниже, потому что теперь мне уже стало интересно.