На фото: Лорри Фейт Кранор, профессор Университета Карнеги — Меллон, в платье с 500 самыми популярными паролями в интернете, на саммите по кибербезопасности в Стэнфордском университете. Она надеется, что изучение платья поможет окружающим людям осознать необходимость поменять свой слабый пароль. В 2003 году Билл Бёрр (Bill Burr) работал менеджером среднего звена в Национальном институте стандартов и технологий. Ему с коллегами поручили написать скучную инструкцию — документ с инструкциями по выбору и управлению паролей, который должен был стать рекомендацией для государственных организаций США. Сотрудники выполнили задание — и этот документ стал известен как NIST Special Publication 800-63B. Лично Бёрр написал приложение А к этому стандарту (Appendix A) — восьмистраничный пример, который даёт практические советы по выбору и управлению паролями. Билл Бёрр рекомендовал чередовать цифры, специальные символы, строчные и прописные буквы, а также периодически менять пароли.
Рекомендация NIST с годами превратилась в стандарт, который стал обязателен для исполнения во многих государственных учреждениях, а сам сейчас автор в полной мере осознал масштаб своих ошибок и теперь очень сожалеет о содеянном, пишет The Wall Street Journal.
Абсурдные рекомендации по выбору и управлению паролями в своё время стали сюжетом известного комикса XKCD.
Вряд ли менеджер Национального института стандартов и технологий мог представить, что его рекомендации получат такое распространение, станут непреложной истиной для миллионов пользователей и огромного количества компаний, государственных агентств, учебных заведений и прочих. Все они установили правила для выбора и управления паролями в соответствии с рекомендациями NIST.
Но со временем проявилась одна проблема. Выяснилось, что эти рекомендации неправильные, они вовсе не способствуют повышению компьютерной безопасности.
Во-первых, как уже отмечалось выше, они обеспечивают меньшую энтропию, чем длинные парольные фразы, при этом их гораздо труднее запомнить. Попробуйте запомнить беспорядочный набор символов в верхнем и нижнем регистрах, перемешанные с цифрами.
Во-вторых, особенно неправильной оказалась рекомендация менять пароли каждые 90 дней. Если хотя бы один сложный пароль из букв с цифрами пользователь может запомнить, то как ему изменить его через 90 дней и запомнить новый пароль? Как показала практика, большинство людей решают эту проблему самым логичным способом: они делают минимальные изменения в пароле. Например, просто меняют последнюю цифру, прибавляя единицу: Pa55word!1, Pa55word!2, Pa55word!3 и так далее. Это совершенно не способствует повышению безопасности.
Сейчас мистеру Бёрру 72 года, он на пенсии. В комментарии The Wall Street Journal он сказал, что сожалеет о большей части содеянного. Возможно, ему не нужно быть таким строгим к себе. Кто мог подумать, что рекомендации NIST разойдутся настолько широко и станут «золотыми правилами» для системных администраторов? К тому же, в то время не было достаточно академических исследований о безопасности паролей, и трудно было написать действительно грамотные рекомендации, а на Бёрра давило начальство с требованием быстро закончить работу. У специалиста, который программировал военные мейнфреймы ещё во время Вьетнамской войны, просто не было времени досконально изучить тему. Он даже просил администраторов дать ему посмотреть на реальные пароли сотрудников NIST для анализа, но ему с удивлением отказали по причинам защиты конфиденциальных данных.
Администраторы были удивлены даже самой просьбе. Не имея эмпирических данных, Бёрр руководствовался научным исследованием 80-х годов — это лучшее, что нашлось. Как выяснилось спустя 15 лет, он сделал неправильный выбор.
В июне 2017 года была закончена двухлетняя работа по переработке стандарта NIST Special Publication 800-63B. Первоначально планировалось ограничиться лёгкими правками, но в итоге группе сотрудников пришлось переписывать всё практически с нуля. В новых правилах нет обязательного требования использовать специальные символы (такие как вопросительные и восклицательные знаки) и отсутствует требование по обязательной смене пароля.
Теперь наконец-то до специалистов NIST дошли правила энтропии из комикса Манро — и обновлённый стандарт рекомендует использовать длинные парольные фразы, лёгкие для запоминания, но трудные для брутфорса.
Менять пароли теперь рекомендуется только в том случае, если существует вероятность их компрометации, то есть если имеются признаки утечки.
Ну вот, наконец-то справедливость восторжествовала. То, о чём говорили многие специалисты по безопасности, официально признано на уровне NIST. Миллионы пользователей, которые тупо меняли пароли каждые три месяца, выбирая строчные и прописные буквы, цифры и специальные символы, интуитивно чувствовали абсурдность этого процесса — и теперь они тоже могут вздохнуть с облегчением. Новые правила предполагают использование парольных фраз, которые гораздо легче запомнить. Это могут быть строчки из стихотворения или произвольные предложения. Чтобы брутфорсить 40-символьные фразы, хакерам придётся применять новые словари с графами сочетаемости слов. Это более сложно, чем сбрутить восьмисимвольный пароль с произвольными символами.
Исследователи говорят, что даже фраза из четырёх произвольных слов обеспечивает достаточно высокий уровень безопасности, чтобы надёжно защититься от брутфорса.
Все пользователи каждый день тратят примерно 1300 лет на набор паролей, так что правильные рекомендации — это очень важно. С парольными фразами затраты времени человечества, впрочем, ещё больше увеличатся. Но зато вырастет и энтропия паролей, что более важно.
Комментарии (165)
Ckpyt
09.08.2017 20:22+3Эм… парольные фразы… средний словарный запас — 10 000 слов.
Парольная фраза из четырех слов — 10^4*4 = 10^16 Мне кажется, или при большей длине пароля обеспечивается меньшая защищенность(при условии правильности написания слов в парольной фразе)?
staker
09.08.2017 20:43+1Если буквы, цифры и спецсимволы это 100 вариантов, то пароль длинной 8 это те же 10^16
chem_ua
09.08.2017 21:38Это как?
?l = abcdefghijklmnopqrstuvwxyz
?u = ABCDEFGHIJKLMNOPQRSTUVWXYZ
?d = 0123456789
?s = !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
26+26+10+33=95 имеем 95^8=6 634 204 312 890 625 а это никак не 10^16=10 000 000 000 000 000
alff31
10.08.2017 01:02Цифры одного порядка, разница менее чем в 2 раза
safari2012
10.08.2017 14:12+1парольную фразу легче запомнить. и куча бесплатных трурандомных генераторов.
3al
11.08.2017 10:11Большинство людей не запоминают по-настоящему случайный пароль в 8 символов. Обычно берут случайное слово и слегка изменяют + добавляют спецсимволы. Но софт для перебора паролей умеет делать то же самое и время перебора сокращается на слишком много порядков.
Конечно, речь идёт о мастер-паролях, а не о том, что внутри менеджера паролей.
boojum
10.08.2017 07:25+1Слова необязательно должны быть написаны по всем правилам орфографии. Лучше если будут встречаться заведомо «безграмотные».
Речь не про замену буквы «о» нулём, а про неформализуемые искажения, придуманные вам самим. Например, не обезьяна, а аблизяна.XeguH
10.08.2017 17:52-1Однако было уже…
1999 Год. Лукьяненко. Фальшивые зеркала.
«Сорок тысяч обезьян в жопу сунули банан.»
trapwalker
10.08.2017 18:11Вы чувствуете, что это ведет к тем же проблемам. Длинный надёжный пароль вводится редко, а после хорошего отпуска он и вовсе растворяется в памяти. Вот придумали вы «аблизяну», а потом гадаете «абельзяна» это была или «бельезяна». Если вы не каверкаете слова до полной неблагозвучности, то энтропия не сильно растёт, а манера каверкать слова скоро с помощью «биг-даты» будет выниматься из ваших блогозаписей, манеры речи с публичных выступлений и дружеских переписок. Я отдаю себе отчет, что стоимость такой атаки весьма высока, но и технологии не стоят на месте. Вектор атаки не предсказуем. Вот в этом посте один из комментаторов очень здорово намекнул о своём пароле. Эти комментарии провисят тут годами и, возможно когда-то кому-то пригодятся вскрыть BTC кошелёк или кейчейн этого человека. Почему нет?
Нет, не надо коверкать слова, если это не помогает запомнить фразу.
Нет, не нужно делать орфографических ошибок, если это не помогает запомнить фразу.
Нет, не нужно использовать отрывки из публичных (и не публичных) текстов, известные фразы.
Нужно генерировать набор слов пока он не покажется вам отлично запоминаемым из-за своей странности, а потом много раз вводить его для запоминания и скорости в приватной безопасной обстановке (поставить на ноут — хорошая идея, если вы пользуетесь им исключительно один или у вас есть настроенный второй профиль для жены и гостей).
Неплохая идея положить его в аварийный кейчейн на случай уж очень мозговыносящего отпуска.
А вообще кейчейны — это наше всё. Я, конечно, же так не поступаю, потому что всё никак руки не дойдут навести в этом порядок, но если бы у меня спросили как лучше, то я бы ответил.
Сгенерить ОЧЕНЬ запоминаемый многословный мастер-пароль. Этот пароль вы не должны забывать никогда. Приучите себя проговаривать его мысленно каждый день перед сном по нескольку раз (если вы не разговариваете во сне=)
Мастер-перолем закрываем аварийный кейчейн с обычными многословными паролями для важных сервисов.
Везде стараемся сохранять пароли в брузере и системных кейчейнах. Это чтобы не забивать память высокоэнтропийным мусором и не запутаться. «Компьютеру-цифровое» — Юлий наш уважаемый Цезарь, кажется сказал.
dkukushkin
10.08.2017 07:36+2средний словарный запас — 10 000 слов
А сколько с падежами/формами глаголов? Если добавить клички животных, фамилии людей?
sic
10.08.2017 09:13+1Не меньшая, но и не особо большая, да. На самом деле, проблема картинки с xkcd в том, что они полагают скорость перебора в 1000 паролей в секунду, но для web это немыслимо много, а для локального перебора бесконечно мало.
Так что, если утащить список хешей, особенно без соли, и в каком-нибудь SHA, то скорось перебора на средненькой домашней GPU ферме будет порядка N GHash/s (~10^12) и пароли подобные correcthorsebatterystaple раскалываются за единицы минут.PKav
10.08.2017 14:05Для Web это немыслимо много если с одного хоста перебирать. Если же подключить к этому делу ботнет, то всё становится гораздо веселее. И если каждый участник ботнета будет делать паузу после нескольких попыток, то защититься от такого автоматическим баном по IP при нескольких неверных попытках ввода пароля будет нереально.
sic
10.08.2017 14:37+1Так сам аккаунт залочат. Кроме того, для большинства мелких сервисов 1000 авторизаций в секунду — уже полноценный DoS.
AEP
10.08.2017 23:10+1Добавлю к этому: современные функции хеширования пароля (типа PBKDF2) медленные. Т.е. грузят процессор по несколько десятков или даже сотен миллисекунд. Т.е. сама по себе форма с логином-паролем становится хорошим способом заDoS-ить сервер.
tlv
10.08.2017 11:20средний словарный запас — 10 000 слов
Ваша оценка словарного запаса занижена в 4-8 раз, 10 000 — это ученик младших классов, ну или Эллочка.
Вот это исследование говорит о 55-90 тыс для совершеннолетних респондентов (и 90 — это не всплеск. Всплеск — это полулегендарные 180-200 тыс для «Пушкиных»).
По правилам теста слово считалось «знакомым», если респондент мог дать определение хотя бы одному его значению. Чтобы повысить точность теста и выявить респондентов, проходящих его неаккуратно, в тест были добавлены несуществующие слова. Если респондент отмечал хотя бы одно такое слово как знакомое, его результаты не учитывались. В исследовании приняло участие более 150 тысяч человек (из них прошло тест аккуратно — 123 тысячи).
Ckpyt
10.08.2017 12:06Да-да-да, "согласно исследованию, проведенному на нашем сайте, 100% населения пользуются интернетом".
Выборка нерелевантна.
Во-первых, используются имена, названия с МАЛЕНЬКОЙ буквы. Как вам слово "вебер".
Во-вторых, используются общепринятые профессиональные сокращения. Больше всего покоробило "вах". То ли "ВАХ", то ли частица "вах"…
В-третьих, используется слэнг и жаргон. "укантрапопиться". "шифрануть".
В-четвертых, неустоявшиеся производные так же считаются новым словом. "обвесовочка".
Таким образом действительно легко набираются 150 000 слов(мой запас, согласно тесту).
Так вот, для пароля, по моему опыту, обычно используются легкозапоминаемые повседневные слова и фразы. Так, по своему опыту сисадминства, могу привести такой пример: "У коня четыре ноги". И каждые 90 дней менялось животное.
Neren
10.08.2017 17:52А без парольных фраз люди вообще бывает используют пароль вида «пароль123». Суть же не в этом.
Отсутствие приведенных вами слов в общепринятых словарях как раз таки еще более осложняет задачу подбора, если подходить к созданию пароля грамотно, т.е. в данном случае выступает не дутым поводом для гордости своим словарным запасом, а реальным подспорьем в прикладном вопросе безопасности.Ckpyt
10.08.2017 18:22+2Вы меня не слышите.
Еще раз: люди ставят галочку напротив слова не потому, что они его знают и напишут при вводе пароля, а потому, что они, по правилам русского языка, догадались что значит это слово.
а вот при выборе пароля, чаще всего, будут использовать легкозапоминаемые повседневные слова и фразы.
PavelZhigulin
13.08.2017 21:15+1У парольных фраз в России есть фатальный недостаток. Обычно это русская фраза в английской раскладке. Все хорошо, пока клавиатура реальная. Вводить подобные пароли с экрана телефона — это сущий ад.
Camill
10.08.2017 11:57"! зиленаяПитерскБронтозябра"
Сильно вам поможет словарь в раскалывании такого пароля?
anshdo
10.08.2017 19:36+110000 — средний словарный запас чего? Активный словарь одного, не очень образованного, человека? Но зачем именно свой активный словарь использовать? Берем 4 случайные книги разных авторов и разных жанров, от дамского детектива до хард научпопа, открываем в случайных местах, выбираем случайные слова, отбрасывая заведомо высокочастотные. Таким образом словарь увеличивается до нескольких сотен тысяч, фактически до всех слов языка. Ну и слов может быть не 4, а побольше, не обязательно ориентироваться на умственные способности жены Джеймса Гуделоу (запомнить несколько случайных слов не сложнее, чем столько же случайных цифр, возможно даже легче).
PlayTime
09.08.2017 20:56ох.
использую LastPass (или я бы назвал его LostPass после утечек). Стараюсь генерировать пароль из 32 символов (!ldbPYMTP$7kVpGcW5NZiE1naxNskJ%A — типичный пароль). От важных мест пароль храню в голове только (почта, онлайн банкинг). На каждом сайте свой пароль. И я конечно же их не знаю :)
Заменил бы на похожий сервис но который можно поднять у себя на ВПС на рандомном порте. С клиентами под мобильные ОС и десктопные (как в ownCloud).
Apathetic
09.08.2017 22:20+6KeePass: храню зашифрованную базу в облаке на своем сервере, клиенты есть под все платформы (в т. ч. веб)
antonrr
09.08.2017 22:44У KeePass клиент под мак и iOS довольно грустный, как мне кажется.
dartraiden
10.08.2017 00:39Возможно, есть альтеранативные клиенты. Формат базы полностью открыт (сейчас актуальна уже 4 версия формата, но ещё не все альтернативные клиенты адаптировались)
pnetmon
09.08.2017 21:01+2и обновлённый стандарт рекомендует использовать длинные парольные фразы, лёгкие для запоминания, но трудные для брутфорса.
Эти пароли должны каждый раз вводить, особенно несколько раз на дню и не давать запоминать разным программам?
MS молодцы — дали возможность подглядеть набранный пароль (часто приходится вводить длинные пароли — вероятность ошибки очень большая)
Менять пароли теперь рекомендуется только в том случае, если существует вероятность их компрометации, то есть если имеются признаки утечки.
Обычно пользователь может и не догадаться что его пароль утек.
Жалко оригинал по подписке, а англояычные статьи ее упоминающие пишут в деталях отличное от Ализара
xMushroom
09.08.2017 21:25+1У длинных парольных фраз есть один недостаток — их долго набирать. И так раздражает необходимость регулярно вводить пароли, а длинные пароли — тем более. Плюс, начинаешь торопиться и набирать быстро, обязательно сделаешь ошибку, придётся перенабирать… короче, я попробовал и тут же бросил. Лучше уж запомнить несколько самых важных случайных паролей из 10-12 символов, а для остального есть менеджер паролей.
Nakosika
10.08.2017 00:29+5Набирать фразы быстрее, там же использует моторика, заточенная под набор обычного текста. А жуткий пароль и набирать сложнее, там каждую букву на клаве искать, да еще и спец символы...
xMushroom
10.08.2017 08:19+1После 10-20 набора моторика и там начинает работать, разница только в длине.
LazyCrazy
10.08.2017 09:23У длинных парольных фраз есть один недостаток — их долго набирать.
Как вариант (возможно — не самый лучший) — составлять пароль не из слов целиком. Помним фразу полностью, но набираем из каждого слова, допустим, буквы с третьей по седьмую. Да, от полного перебора вариантов это защитит хуже целой длинной фразы, зато будут отсутствовать вычленяемые логичные куски (слова).
Radjah
09.08.2017 21:56+1Перебор по словарю всё равно актуален же. Если не прокатывают слова, то могут прокатить их комбинации. Брутфорс обычно идёт самым последним вариантом же скорее из-за отчаяния, чем с надеждой на результат.
batja84
09.08.2017 22:05Например пароль в PayPal ограничен длиной 20 символов. Пришлось существенно урезать парольную фразу, чтобы она влезла в эти рамки.
mva
09.08.2017 22:11+3вот никогда не понимал этот идиотизм в виде ограничения максимальной длины пароля.
Чрезмерная, блин, забота о пользователях там, где не надо.
Пользователи — они же малые дети. Всё делают себе во вред и стремятся самоубиться.
Нужно обязательно за них решить, какой им пароль можно, а какой нельзя.batja84
10.08.2017 02:22Зато не может не радовать возможность в некоторых сервисах, связанных с деньгами, в стране, где основной алфавит латиница, заводить пароль кириллицей.
mva
10.08.2017 07:10+3Может быть довольно опасно, если авторы считают, что не существует кодировок кроме latin1 и не слышали про юникод :)
TheGodfather
10.08.2017 15:00А меня еще и ограничение минимальной длины бесит. НУ вот хочу я пароль из 7 символов, но нет же — «минимум 8»… И совсем финиш, когда еще «ой, а спецсимвол? А сбольшая буква и цифра?»
aamonster
09.08.2017 22:56Вот кстати да. Давно сами пароли никто не хранит — хранят лишь солёный хэш. Т.е. длина пароля вообще не имеет значения — ну, придётся хэш посчитать от 40 символов, а не от 20 — о чём вообще речь?
Finesse
10.08.2017 02:38Комбинаций 40 символов намного больше, чем комбинаций 20 символов. Придётся проверить больше комбинаций, чтобы найти подходящую.
aamonster
10.08.2017 09:52Что проверить? Когда пользователь ввёл пароль — от него считается хэш. Всё, дальше пароль не используется, а хэш имеет фиксированную длину.
Если 20 символов хватает, чтобы хэш был "случайным" — то чем хуже 40? Почему нельзя позволить?
Finesse
10.08.2017 10:02Прошу прощения, понял вопрос не в том контексте (в контексте защиты от перебора). Присоединяюсь к Вашему вопросу.
Fafhrd
11.08.2017 14:26+1Например, так исторически сложилось и в древние времена там пароль хранился в каком-нибудь varchar(20) в открытом виде.
Мне доводилось видеть проекты, где ограничение на длину пароля было обусловлено именно этим, даже после перехода на хеши.
tandzan
10.08.2017 02:5420 символов a-z,A-Z,0-9 — это примерно 119 битов для перебора. Кто в своем уме начнет это перебирать?
Dmitri-D
10.08.2017 07:10+1… И перебор завершится примерно на 5..7й попытке. Дальнейшие действия будут игнорироваться. В современной банковской системе аутентификации предусмотривается принудительное снижение частоты и ограничение количества подключений, и количества попыток. Это не говоря уже о 2FA.
Брутфорс с 2^28 попыток применим, конечно… но только или к безграмотной системе, или к запароленным файлам или парольным хешам, которые удалось утащить. Во втором случае — более практичное применение имеют rainbow tables. Но в этом случае — никакие длинные фразы, очевидно, никак не помогают.
Noa69
10.08.2017 11:25+1В ICQ когда-то было ограничение длинны пароля 8 символов.
В WPS по сути пара из 4х цифр + 3 цифры, которые надо вводить поочереди, можно угадать первые 4 цифры, после чего подбирать оставшиеся 3. И это не в наследнии из лохматых 70х, а в стандарте 2007го года.
Эти штуки как будто специально были сделаны для того, чтобы их было как можно проще подобрать
25080205
09.08.2017 23:11+1Если речь про древние времена, то вспоминаем ограничение на длину пароля. Типа, первые N символов используются, остальные можешь набирать, но они будут отброшены при проверке. Многие системы ДЕЛАЛИ ЭТО %-)
Подсчитайте вероятность подбора, если используется только первые 6-7-8 символов из пароля. Требование использовать расширенный набор (заглавные буквы, цифры), несловарные слова и т.п. весьма логично при такой длине, иначе имеем пароль из (максимум) двух словарных слов.dartraiden
10.08.2017 00:48+2О да, клиент ICQ любил это делать (использовались первые 8). Mail.ru, купив ICQ, продолжила традицию — длина пароля увеличилась, но жёстко ограничена 16 символами.
Ещё похожим страдает Blizzard — их серверы не придают значения регистру символов в пароле.25080205
10.08.2017 08:34Я еще смутно припоминаю, что где-то до кучи отбрасывался первый символ (х.з. почему), ну и ограничение по длине там же. Сейчас вряд ли такая система прожила бы и несколько суток без взлома… Публичные сервисы вообще постоянно на прочность испытывают. Даже на местечковой системе, ничем не примечательной, на которой был выставлен наружу порт RAdmin с супер-пупер секурным паролем — ой! Пароль не подобрали, но так старались, так старались… Пришлось фильтровать IP, т.к. недосервер начинало реально плющить, на DDoS было похоже. А тогда можно было и вот так...
willmore
10.08.2017 11:26Проверил про Близзардов, вы правы. Компания с мировым именем в моих глазах упала ниже плинтуса.
Ogra
10.08.2017 12:27Зато от скольки писем в техподдержку WoW из-за зажатого CapsLock они избавились!
pnetmon
10.08.2017 13:17+2Как вам компания с мировым именем Сбербанк, где пароль в Сбербанк Онлайн для физиков не зависит от регистра.
nikitadanilov
10.08.2017 15:34В Ситибанке несколько лет назад для защиты от keylogger-ов пароль вводился через «виртуальную клавиатуру» (т.е. на сайте надо было мышкой кликать в нарисованные буковки), и на этой клавиатуре не было смены регистра. Клавиатура давно пропала, на пароли, ясно дело, остались с тех пор case insensitive.
dartraiden
10.08.2017 20:20+1Компании с мировым именем PayPal и Ebay никак не могут сделать 2-факторную авторизацию. Она есть, но только через аппаратный токен, причём, даже если вы заполучили токен, но живёте «не в той стране», то применять его не сможете.
Тот же Сбербанк отказался от 2-факторной авторизации с помощью одноразовых паролей, печатаемых банкоматами. Теперь только по СМС (вспоминаем массу историй о том, как в салонах сотовых операторов легко выдают мошенникам дубликаты сим-карт по липовым доверенностям).ledascho
10.08.2017 22:28https://vip.symantec.com/ в виде (как минимум андроид-) приложения прекрасно регистрируется и работает с пейпалом. Другое дело, что ебей, принадлежащий пейпалу же, не способен спросить, от какого именно токена из нескольких зарегистрированных придет код — и ждет только от железного…
pnetmon
10.08.2017 22:36Сбербанк и только по СМС.
С тем же Сбербанком несколько недель назад у меня было очень весело (очень грустная рожица)
Из группы зеленых токенов для входа в Сбербанк Бизнес Онлайн один токен перестал работать, хоть он и вставлен и правильно воспринимался пин код, но на этапе авторизации по логину и паролю сайт выдавал сообщение вставьте ключевой носитель и запустить ...EXE.
Пока искал телефон техподдержки набрел на домене сбербанка на Новый Бизнес онлайна. К моему удивлению я туда зашел по логину и паролю (который вводил ранее, но не мог войти). Зашел и мог совершать просмотр движений средств БЕЗ вставленного токена и БЕЗ получения sms пароля. То есть любой узнавший пароль и логин мог это делать (это к только по СМС)
Логин не имел прав подписания и не имел сертификата, ему нужен только просмотр.
p.s. Техподдержка две недели не могла дать ответ что за дела с токеном. На прошлой неделе дошли руки пробывать снова — авторазиция заработала и на попытку входа без вставленного токена стало выходить сообщение что работать нужно только запуском файла EXE. На сайте было написано что проводили техработы.
От техподдержки никаких ответов на обращение что за дела, в том числе про такую авторизацию не получил.
mm7
11.08.2017 00:36компания с мировым именем SAP на их саппорт сайте требует ввести пароль из строго 8 символов, не меньше и не больше :)))
подозреваю, что пароли у них хранятся не хешированные.
yarashuk
10.08.2017 19:58Вконтакте вообще не делает разницы в раскладке. Если в качестве логина использовать номер телефона, то подойдёт и привет и ghbdtn
Xandrmoro
10.08.2017 13:33А у меня, почему-то, придают.
dartraiden
10.08.2017 20:16+1Только что специально проверил на battle.net, приведя свой пароль (случайный набор букв разного регистра, цифр, спецсимволов) к нижнему регистру — пустило.
У вас прикреплён мобильный аутентификатор? (вдруг для учётных записей с 2-факторной авторизацией требования к паролю мягче).
rd_nino
10.08.2017 00:06Так и представляю себе обычного пользователя (не продвинутого).
Он сейчас 8-ми символьный-то пароль набирает утром с трудом и умудряется ошибиться несколько раз подряд (вплоть до автоматической блокировки учётки).
А теперь он точно НЕ с первой, а дай бог с третьей, попытки войдёт в систему. :)
tieonabe
10.08.2017 00:18+4Ох, как же я ненавижу этих дебилов, которые распространили правила паролей про всякие символы и разные регистры… Мне в одном только в этом году стало обязательно получить аккаунты на 100500 разных сайтах, где-то инфа по зарплате, где-то по мед. страховке, где-то аккаунт для выплат за электричество, за домашний интернет, у мобильного оператора свой сайт, про банки, амазоны и пэйпалы всякие я вообще молчу.
В итоге, я постоянно жму на восстановление пароля, хотя использую в 90% мест один и тот же, но где-то надо добавлять ему прописную букву, цифру, а где-то ещё восклицательный знак. Всяким ласптассам не доверяю, все чувствительные аккаунты типа почты и банка имеют уникальные сложные пароли. На gmail вообще пароль из 23 букв, благо там не требуется разные символы иметь в нём. Подобрать пароль нельзя, так как среди цепочки обычных слов вставлены слова бессмысленные, но выговариваемые (взятые из случайно сгенерённых паролей в прошлом).
Если меня хакнут, то явно через заражение компа, а не через брутфорс пароля. А тут уж ничего вообще нельзя сделать, 100% гарантии не даст никто (двухфакторная авторизация не везде заведена, увы).
nidalee
10.08.2017 08:43В итоге, я постоянно жму на восстановление пароля
Я тоже. И каждый раз хочу роскомнадзорнуться, когда мне пишут при восстановлении «этот пароль уже использовался за последние 10 лет!». После третьего восстановления уже проще сайтом не пользоваться, чем что-то выдумывать.
Retifff
10.08.2017 12:22Всяким ласптассам не доверяю
используйте keepass тогда.
Nakosika
10.08.2017 13:23Keepass + кинуть зашифрованный файлик в гугл докс, а открывать только с телефона чтобы мастер пассворд не стырили. Вполне нормальный вариант. У меня ярлычок на главном экране одним тапом открывает, удобно.
TimsTims
10.08.2017 17:06> Мне в одном только в этом году стало обязательно получить аккаунты
У вас раньше никогда небыло интернета :)?
yans
10.08.2017 04:25Сама идея запоминания пароля в глобальном смысле порочна и так или иначе она уйдет в прошлое. Человек по определению не может быть быстрее и умнее компьютера.
Либо пользователь сам должен быть себе паролем (пальцы+лицо в мимике+голос+%прочие уникальные факторы%) либо мы должны полностью отказаться от конфиденциальности и перейти от секретности к ответственности за доступ к информации. Утопично, но, кажется, в Эстонии работает электронное государство именно так.
И самый, конечно, омерзительный момент в использовании длинных паролей — ограничение на максимальную длинну пароля, которое устанавливает каждый сервис как хочет. Сороктысячобез… все, длинна пароля кончилась. Запоминай на какой букве ты остановился на этом сайте.
PaulAtreides
10.08.2017 10:16+2Проблема любых уникальных факторов человека в том, что они легко компрометируются и никак не меняются. А вопрос подделки голоса или лица в мимике — это уже давно не проблема.
Dmitri-D
10.08.2017 07:13-2Мне больше по душе аутентификация по распознанному образу. За этим — будущее. Сел и автоматически прилогиниваешься. Встал, ушел — и автоматически разлогинивается. Чем плохо?
hdfan2
10.08.2017 07:48+2Хм… Аутентификация по отпечатку задницы со встроенным в кресле сканером? Отличная идея, мне нравится!
mironoffe
10.08.2017 09:47При этом так просто скопировать «отпечаток» не получится как с пальцем, например с ручки двери. И, если зад уже скомпрометирован, то «протез» получится большой и незаметно пронести на особо охраняемый объект будет значительно сложнее.
PaulAtreides
10.08.2017 10:18А зачем кому-то проносить зад? Отдерут со стула датчик и при помощи программки на ардуино (непременно входящей в метасплойт) воспроизведут нужные циферки. То же и с пальцем.
Shadow_Runner
10.08.2017 07:28Всегда применял комбинированный подход для тех мест где важна надежность пароля. Что-то в духе T0aster_of_the_N1ght. Запоминается легко, цифры и спецсимволы стоят по вполне понятной логике.
tendium
10.08.2017 08:45+2Эх, я бы с радостью вообще везде использовал фразу из нескольких слов, но на некоторых (даже весьма популярных) сервисах пароли длиннее 16 символов тупо не разрешают (точно было у Microsoft, и кажись у Origin).
P.S. Немного офф: причем у Origin (опять же если я их не путаю с кем-то другим) невалидными на фронтенде считались пароли "> 16", а на бекенде ">= 16". При этом у меня пароль был ровно 16 символов. И я долго не мог понять, почему я не могу зарегистрироваться (ошибка от бекенда была неговорящая — видимо, считали, что фронтенд все и так обрабатывает, как надо). Потом я как-то методом тыка догадался. И тут же написал в саппорт. Увы, но там так и не смогли понять проблему (тон вообще сводился к тому, что, мол, вы же зарегистрировались, что вам еще нужно). Так что вот, такие вот дела с длинными паролями…
Dmitry_5
10.08.2017 08:58-3Судя по фото, туда уже выехала полиция стиля, модный приговор и иже с ними. Почему за границей женщины так плохо одеваются? Чего одни уродские черные чулки и сапоги, в которых у нас бухгалтерши зимой в госучреждениях весь день ходят, стоят. Зато европейские мужчины наоборот, образец стиля...
YaMishar
10.08.2017 09:30Почему Вы американку противопостовляете «европейским мужчинам»? И о какой части Европы идёт речь? Скажем англичане от итальянцев отличаются. Итальянцы от итальянцев отличаются. О ком речь?
Да и данный пример — просто стёбная одежда. Мне нравится.
YaMishar
10.08.2017 09:18+2Вообще странно видеть его сожаления. В 2003 году мощности были другие, софт был другой и цели были другие.
Точнее:
— в 2003 случаев утекания паролей и выкладывания 100 500 000 000 самых популярных паролей было мало. Я не помню ни одного. Просто банально потому, что интернет был в зачаточном состоянии. В 2000 мне надо было забрутфорсить пароль к архиву. Хозяин забыл его, так я нашёл утилиту и к ней шёл словарь на 200 000 слов (включая популярные пароли липа «p@$$w0rd». Утилиту вроде наши написали. Скорость подбора была чудовищна, а он ещё и цифры добавил.
— Государственные компании США даже сейчас, а тогда тем более, работали с таким легаси, когда иногда поле ввода паролей было сильно ограничено. Скажем я встречался с продуктом, в котором пароль это скорее пинкод. 6 цифр.
— Он боролся с засильем «1234», «password» и прочим. Думаю, совершенно очевидно, что "%fU-Rt71$" гораздо сложнее боле длинного «passwordpassword». Не для брутфорса, а для запоминания, подглядывания и словарного перебора.
Так что не о чем сожалеть. Это, пусть и не идеальный, но стандард, который был принят во время. Дальше можно его развивать, но шаг был правильный.
Вообще парольная защита, как мне кажется, отжила своё. пароли в 20 случайных символов запомнить сложно, особенно если часто менять. Брутфорсить скоро их станет очень просто.
Я довольно скептически отношусь к рекомендации использовать парольные фразы. Как только такие пароли станут популярными, тут же брутфорс будет делаться и по ним. Может уже и делается — я просто не в курсе. И тогда «правильно лошадь батарея скрепка» будет не более стойкий, чем тот трубадур.
Я, помнится, какое-то время имел пароли из песенок. К примеру «IzZaOsNaStNaPrReVo» — составлен из первых букв песенки про Степана Разина. Легко запоминается, словарно не подбирается. Но потом стал сталкиваться с проблемами типа
— админы вводят требование менять пароль каждые 3 месяца. И тут как по статье — добавляем счётчик
— некоторые сервисы ограничивают длину
— некоторые требуют добавления разных символов (цифры, спец) и тут надо запоминать где ты добавил "$5" а где нет. И куда добавил — в начало или конец.
Короче, должно быть другое решение. Я его пока не нашёл, мучаюсь с KeePass.
Почему мучаюсь? Ну хотя бы в винду я его ввести не могу. Ну и некоторые сервисы не дают копипастить пароль в форму. На телефоне проще — отпечаток пальца. Или там роговицы снимок.aamonster
10.08.2017 09:58Для паролей такого типа стойкость посчитана же… Так что что касается брутфорса — всё упирается в количество слов. В первом приближении одно слово такого пароля заменяет два символа в пароле с буквами, цифрами и знаками препинания — если, конечно, оба сгенерили случайно. А запомнить легче.
YaMishar
10.08.2017 10:10Запомнить легче, а ввести сложнее. Особенно, когда вводить на телефоне с маленькой клавиатурой.
Ну и как я упомянул, не везде ити 40-50 символов влезут.aamonster
10.08.2017 13:18Вот про «влезание» 40-50 символов как раз и вопрос — почему бы их не позволить?
Ввести сложнее — да (хотя как раз на экранной клавиатуре возня с переключением регистров для ввода цифр и знаков препинания тоже замедляет ввод). Теоретически — можно было бы сделать специальную «клавиатуру» для удобного ввода паролей из фиксированного набора слов. Или иметь возможность ввести пароль как в виде пачки слов (легко для запоминания), так и в «абстрактном» виде (смутно помню, что какой-то вариант OTP отдавал пароли в двух видах: N слов из словаря на 4096 элементов или 3*N 16-ричных цифр, но не могу найти, какой).YaMishar
10.08.2017 13:58Как только будет клавиатура с набором слов, тут же кейгены будут работать с этим набором. Для удобного и быстрого набора список большой держать неразумно. А небольшой список — это получается пинкод.
aamonster
11.08.2017 15:26Дык пожалуйста. Стандартный набор из 4096 слов — по сути, 12-битные символы. Полный перебор.
Я говорил об удобном способе набора именно этих слов (в 2-3 тапа каждое)
YaMishar
10.08.2017 14:03Вообще в пинкодах нет особого зла. На карточке 4 цифры. 10 000 комбинаций.
Проблема скорее в интерфейсе. Он должен работать по стандартам, которые исключают брутфорс. Как те же кредитки. 3 неправильный попытки — блок. Или помягче. 3 неправильных попытки — отдыхаем час. Потом — сутки и проч. Но это надо иметь доверенный сервис аутентификации.
cepera_ang
11.08.2017 07:47Токен Yubikey, аппаратная кнопка, можно настроить на два разных варианта аутентификации и, среди них, есть ввод простой текстовой строки — как раз логина в винде или мастер-пароля в какой-нибудь кипас идеально.
whiplash
10.08.2017 10:36Грубейшее нарушение техники безопасности конечно
«Менять пароли теперь рекомендуется только в том случае, если существует вероятность их компрометации, то есть если имеются признаки утечки.»
Т.е. можно будет зайти по кредам годичной и более давности. Так нельзя)commanderxo
10.08.2017 15:00+3Т.е. можно будет зайти по кредам годичной и более давности
Вспоминается великолепная байка с Daily WTF.
tangro
10.08.2017 10:50Вообще этому всему очень не хватает идеи о разделении уровней доступа к аккаунту. К примеру, если я хочу через свой клиент-банк пополнить свой же счет мобильного или заплатить комуналку за свою квартиру (за которую я платил уже 200 раз), то мне достаточно ввести какой-нибудь трехциферный пароль. А вот когда я захочу снять со своего счета все деньги и отправить в офшор на Кипр — то должен ввести огромный основной пароль + двухфакторную авторизацию пройти.
ads83
10.08.2017 15:00Для этого есть антифрод и другие системы на бэкенде. Например, когда я впервые перевел 150 руб. на благотворительность, мне перезвонили из банка. В тот же день. И проверили не только второй фактор (доступ к телефону), но и третий (персональные данные), и четвертый (секретный вопрос), а может и пятый (характеристика голоса)
Ну и лимиты на операции, явное оповещение об использовании зарубежом заранее и другие меры.tangro
10.08.2017 15:29+1Странный банк у вас. Как можно во ВХОДЯЩЕМ звонке кому-то рассказывать персональные данные или ответ на секретный вопрос?
ads83
12.08.2017 02:38-2Я ведь тоже убедился, что разговариваю с банком :) Звонок с номера банка, представляется как принято в этой конторе, сообщает детали платежа, неизвестные постороннему, спрашивает строго по списку авторизации (процедура проверки такая же, как при звонке в банк)
Если честно, я не помню, спрашивал ли я внутренний номер оператора, чтобы перезвонить самому. Скорей всего да, но врать не буду.tangro
12.08.2017 23:47+1Ну, не знаю. Если это ещё и НАСТОЯЩИЙ звонок был, я б в таком банке счёт бы на следующий день закрыл. Это на всю голову нарушение секьюрности.
Kolonist
13.08.2017 16:10+1А теперь представим себе, что вам звонил человек, который взломал и контролировал (или даже не взломал, а изначально для этих целей создал) сайт, на который вы эти 150 рублей отправили, заодно оставив на нем свой номер телефона.
Номер карты он знает, т.к. вы его ввели на сайте. Соответственно, банк он определил по первым цифрам номера. Имя и фамилию он знает, т.к. вы их тоже вводили в форму оплаты. Представиться так, как принято в каком-либо банке, не сложно, для этого достаточно туда позвонить и выслушать приветствие оператора, то же самое и с процедурой верификации персональных данных пользователя. Детали перевода злоумышленнику известны, т.к. вы только что ему же эти деньги и перевели. Внутренний номер оператора спросит один из ста, а перезвонит по нему один из ста спросивших, т.е. практически никто. Про подмену номера звонящего говорить надо?
И вот, у злоумышленника есть не только данные карты, но и паспортные данные ее владельца, и ключевое слово.
idiv
10.08.2017 12:41-1Почему никто не вспомнил о таком простом способе, вроде пароля:
Ghbvth_ghjcnjuj_gfhjkz_yjvth_1
Просто запоминается, словарь в общем бесполезен. Можно усложнять опечатками или изменением источника, метода созданияvlivyur
10.08.2017 14:20+1И он тоже считается словарным. Кроме того на мобильнике не набрать его.
idiv
10.08.2017 15:26Перебор всех словарей мира уже достаточно длительная задача.
А еще есть транслит:
lfc_bcm_afynfcnbi
или в немецкой раскладке:
lfc_bcm_afznfcnbi
В принципе любой способ — перебор букв.
P.S.На телефоне — дело привычки.
Opravix
10.08.2017 15:00Многие сервисы принудительно заставляют использовать цифры/спецсимволы при создании пароля, не поддерживают кириллицу, пробелы, а также имеют ограничение длины порядка 16-20 символов. В таких условиях придётся подстраиваться под требования каждого сайта и придумывать уникальные варианты.
Greendq
10.08.2017 15:54+1Мне всегда было интересно, а как они считают биты энтропии? Скажем, в слове «пароль» — как посчитать?
Lenivoe
10.08.2017 16:11ad637912a0a15584b06fc033449178f627b82d8b847c3cedc54a42785b6d2111
типичный легко запоминаемый пароль
igrishaev
10.08.2017 16:22На многих сайтах до сих пор стоит лимит символов в поле пароля. При копировании лишние символы просто отбрасываются или сервер выдает ошибку.
vlivyur
10.08.2017 17:14А некоторые другие сайты не зажгут кнопку логина, потому что никаких кнопок не нажималось (Ctrl+V это не буква/цифра)
Marble13
10.08.2017 16:25На последней работе нас заставляли каждый месяц вносить изменения в пароль. Но я как-то не парилась и тоже меняла по 2 или 3 знака. А остальные коллеги прям бесились от этого. А на личных аккаунтах у меня уже лет 5 один и тот же пароль. Всё ОК. Тьфу-тьфу — дабы не сглазить=)).
Автору статьи спасибо. Мне интересно было. И, кстати, первый раз узнала, что в качестве пароля применяют целые фразы из слов. Упс!;)
foal
10.08.2017 19:58У меня коллеги проще делали, при вынужденой смене пароля меняли его 5 раз (столько система помнила предидущие версии) а на последней смене вводили старый пароль.
AleksGRV
10.08.2017 17:52+1В том году обратился в один банк с невозможностью авторизоваться
моё обращениеСтолкнулся с ошибкой работы с паролем в интернет банке.
Получив временный пароль, успешно по нему авторизовался. Заменил пароль на постоянный. Позже, попытался авторизоваться повторно, но постоянный пароль не подходил. Допустив, хоть и незначительную, вероятность моей ошибки, позвонил в поддержку и сбросил пароль.
Теперь, на странице ввода постоянного пароля вводил посимвольно и внимательно, успешно его установил и зашел в профиль. Сразу же разлогинившись попытался войте вновь, но пароль уже не подходит. Ошибка ввода на этот раз была исключена.
Т.к. пароль довольно длинный и содержит спец символы, возможно он некорректно обрабатывается интернет банком.Fermalion
10.08.2017 18:24Уже много лет пользуюсь для генерации паролей формулой «по две буквы из строчки любимого стиха». Все, что нужно запомнить — строфу любого стихотворения, например:
«Не выходи из комнаты, не совершай ошибку»,
Далее выдергиваем из каждого слова по две первых буквы: не-вы-не-со-ош.
Можно для «ядрености» перевести в другую раскладку: ytdsytcjji.
Десять символов. Запоминается легко. Брутфорсится с умеренной сложностью (понятное дело, кому надо — вскроют, но это все-таки не qwerty.) В случае необходимости заменяется на вторую строчку этого же стихотворения — новые десять символов, столь же случайные, сколь и легкозапоминаемые.
И, чтоб два раза не вставать: ВТБ-онлайн сейчас в качестве пароля в личный кабинет позволяет ввести ТОЛЬКО ЦИФРЫ. Б — безопасность.
Да, я знаю, что там еще авторизация по телефону, но блин… Цифровой пароль для защиты денежной информации?!
mickvav
10.08.2017 18:26Строчки из стихотворений — достаточно плохое множество. Их разумно-конечно-много. Бессмысленные фразы куда лучше.
Fermalion
10.08.2017 21:22Добавьте сюда еще строчки песен.
Получается, по-моему, умопомрачительно много. Тем более, что есть масса песен, где тоже чистейший набор слов :-)
И да, повторюсь: в случае реальной необходимости будут использованы методы терморектального криптоанализа, и там уже сложность брутфорса неважна.atrosinenko
11.08.2017 11:30+1Вот тут как раз обсуждается вопрос про строчки из песен. В частности, указывается неочевидная на первый взгляд, но вполне очевидная на второй вещь, что если выбирать N слов подряд, то увеличение N почти никак не влияет на количество возможных паролей, даже чуть уменьшает (хотя, конечно "3, 4 или 5 слов" — это больше вариантов чем "всегда 3"). Но ведь тут есть та же опасность, что и с секретными вопросами — эту информацию можно случайно раскрыть в обычной беседе и даже не заметить.
commanderxo
11.08.2017 23:09В принципе да, но в случае песен и стихов приходит на помощь глобализм и взаимопроникновение культур.
1. Я могу вспомнить довольно большие отрывки песен на русском, украинском, английском и немецком.
2. Не пропускать знаки препинания, ведь даже если забыл правила пунктуации, то можно подглядеть в первоисточник.
3. Простые подстановки, например всегда заменять животных английскими словами, а цвета — HTML кодами.
«Жеманный cat, на печке сидя, мурлыча, лапкой рыльце мыл»
«В лесу раздавался Ctrl+X дровосека»
«Opa! Opa! #00FF00 ograda!»atrosinenko
12.08.2017 12:52Не пропускать знаки препинания, ведь даже если забыл правила пунктуации, то можно подглядеть в первоисточник.
Если под первоисточником понимается "референсный" текст, а не учебник русского языка, то автор того же вопроса разумно уточнил, что если погуглил текст, а потом поставил пароль, то с точки зрения паранойи уже не всё так хорошо. Впрочем, я бы в большей степени опасался возможности социальной инженерии. Эта байка с башорга кажется мне вполне логичной. Но, да, подстановки, на первый взгляд, делают угадывание сложнее.
polearnik
10.08.2017 22:12C этими парольными фразами есть один минус. Если случайно промахнутся и начать вводить пароль в поле для логина то случайного взгляда хватит чтоб запомнить его. А вот если случайно вставить в поле для логина сам пароль типа X4XJf6xCyuDyxjCzm4PQ
(keepass почемуто иногда любит не нажимать таб при автовводе логина и пароля) то ничего страшного не случится
MTyrz
11.08.2017 14:40Если случайно промахнутся и начать вводить пароль в поле для логина то случайного взгляда хватит чтоб запомнить его.
А вот против этого есть метод вводить фразу на другой раскладке. Пример из известной книги: vjkk.crb jnuhspkb vjb ufhwe.obt utybnfkbb — запоминайте на здоровьишко :)
VEG
12.08.2017 00:14+1Пользовался раньше этим методом, но отказался. Такие пароли очень неудобно вводить на мобильных системах без аппаратной клавиатуры.
Neuromantix
У меня как-то был пароль «инопланетяне в три часа ночи тырят бульдозер» (фраза с известной картинки), где-то набранный в русской, где-то в английской раскладке. Но ведь в нем же нет спецсимволов, чисел и заглавных букв! Какой ужас, мы вас заставим использовать правильные пароли!
CoolCmd
у меня уже лет 20 один из паролей (мастер-пароль) — достаточно известная фраза из фильма. с элементами народного фольклора (т.е. мата). применяется там, где вводить нужно редко, так что для запуска винды не подойдет.
LazyCrazy
Осмелюсь предположить, что из «Особенностей...». ;)
PaulAtreides
Ещё пара гипотез и мастер-пароль товарища CoolCmd падёт.
Zul_Kifl
Спорим, что монолог из «Крови и бетона»?)))
CoolCmd
душевная фраза. взял на заметку.
safari2012
или из ДМБ :)
vlivyur
Скорее всего Горячие головы. Фраза вождя, когда он наконец-то получил батарейки в переводе Володарского.
wormball
А мне отчего-то кажется, что это что-то с Химками связанное.
Mitch
Вероятно, этот паттерн используется не только вами.
Так что брутфорсерам логично распарсить культурный слой с пополнить словари культовыми фразами.
Я к тому, что использовать как пароль фразу целиком, как она где то встречается — плохая идея.
nullie
Я обхожу эти ограничения добавлением всех необходимых по мнению системы символов в конец парольной фразы.
follow39
Люди уже ушли на эпоху вперед, на портале госуслуг нельзя ввести пароль с 2 одинаковыми символами идущими подряд.
Kolonist
Так это ж только сокращает пространство допустимых паролей. Дополнительные упрощающие правила для брута.