Все, кто мало-мальски активно пользуется компьютером, заинтересованы в том, чтобы часть информации, с которой они работают, была скрыта от посторонних глаз. На страже конфиденциальности в информационных системах стоит
пароль, без ввода которого пользователь не получит доступа к информации, ему не предназначенной.
Все, кому доводилось пользоваться паролями, знает правила, которых следует придерживаться для того, чтобы личный пароль было трудно угадать. Эти правила стали почти стандартом де-факто.
- Паролем должно быть длинное, более 6 символов, слово, желательно бессмысленное. Кстати, в переводе с французского «parole» - это и есть «слово». Да и английское слово «password» составлено из двух половинок, вторая из которых, «word», тоже означает «слово».
- В пароле следует использовать вперемежку большие и маленькие буквы, цифры и специальные символы (вроде «!»).
- Пароль надо менять каждые 90 дней. Поэтому никто не стремится запоминать пароль. За несколько дней запомнить эту абракадабру можно, но бессмысленно, потому что скоро придётся поменять ее на другую абракадабру.
Внедрение этих нехитрых и вполне разумных правил в легкомысленные головы пользователей попортило много крови системным администраторам. А когда его стали «забивать» в алгоритм проверки пароля на достаточную сложность - тут-то стало плохо уже пользователям. Длинные и бессмысленные слова, в которых буквы перемежаются с цифрами - попробуй запомни. «И кто эту нелепость придумал!» - не раз, наверное, вздыхали тетушки из отделов кадров и из бухгалтерий.
Виновник всего этого безобразия известен. Это - Билл Барр (Bill Burr). В 2003 году он возглавлял Национальный институт стандартов и технологий (NIST), который подготовил специальный отчет, где обсуждался вопрос «правильных» паролей для входа в информационные системы. Этот отчет и является первоисточником всех пользовательских страданий.
Но все течет, все изменяется. В августе 2017 года Билл Барр дал интервью серьезной деловой газете «Wall Street Journal», в котором сказал, что сейчас он бы отказался от некоторых рекомендаций, данных 15 лет назад.
Почему? Дело в том, что, как правило, пароль разгадывается тупым перебором возможных вариантов на очень мощном компьютере. При этом длина пароля оказывается более важным защитным фактором, чем разнообразие символов его составляющих. Тем более, что число возможных символов ограничено, а на длину пароля ограничений практически нет.
«Ну и что?» - спросит нас все та же тетушка из отдела кадров или из бухгалтерии. - «Длинный пароль тоже запомнить трудно»
Как же специалисты предлагают нам действовать теперь, чтобы облегчить генерацию длинных паролей, а также их запоминание?
Они советуют выбирать случайным образом от 3 до 5 слов из обычного словаря и записывать их в виде длинного слова без пробелов. В качестве улучшающего варианта рекомендуется разделять слова каким-нибудь специальным символом (например, «-» или «_») или писать каждое слово с большой буквы.
Запомнить три слова может любой нормальный человек. Для этого не требуется грандиозных усилий или хитрых мнемонических приемов. В «Wall Street Journal» беседу с Биллом Барром иллюстрирует небольшой комикс. В этом комиксе демонстрируется, что для расшифровки пароля «correct-horse-battery-staple» длина которого 27 символов, потребуется 550 лет, в то время как для расшифровки более короткого пароля «Tr0ub4dor3», составленного по всем правилам, которые рекомендовали нам 15 лет назад, потребуется всего три дня. При этом первый пароль запомнить легче, чем второй, потому что он составлен из 4 легко запоминающихся слов.
Легко запоминающихся для тех, кому английский язык родной или хорошо знаком. А как же быть не столь грамотным людям?
Ну, во-первых, можно воспользоваться он-лайн генераторами длинных кодов. Введите вышеупомянутое слово-пароль «correct-horse-battery-staple», и Вы попадете на один из таких генераторов.
А во-вторых, тем, кто английского языка не знает, придумать более стойкий пароль еще проще, чем англичанам или американцам. Нужно только использовать слова того языка, который хорошо знаешь.
Те, кто знает языки с традиционно длинными словами, получают преимущество. Они могут запомнить одно или два слова. Например, хорошим кандидатом на пароль является немецкое слово «Ausweisnummer» («номер удостоверения личности») - 13 букв. Номер удостоверения личности, своего или близкого родственника, удлинит этот прекрасный пароль еще на 8-9 цифр. Идеально!
Те, кто знаком с нидерландским, может выбрать в качестве пароля фразу «EenBakjeTroost» («ЧашечкаКофе»), а те, кому не чужой латышский язык, могут воспользоваться в качестве пароля словом «pretpulkstenraditajvirziens» («ДвижениеПротивЧасовойСтрелки»). Говорят, это самое длинное слово латышского языка. Здесь оно написано неправильно, потому что некоторые буквы, свойственные только данному языку, с надстрочными и подстрочными знаками, пишутся без таковых. Ну и замечательно, врагам будет труднее разобраться!
Тем же, кто пользуется кириллицей или другой нелатинской письменностью, вообще раздолье. Большинство кириллических знаков напрямую транскрибируются в английские буквы. Для тех же букв, чья транскрипция неоднозначна («ц», «ж», «ы», «ь», «ъ», украинское «Ї»), следует решить для себя, как писать их английскими буквами. Одним из вариантов может быть: вообще пропускать на письме проблемные буквы. Неплохой пароль «VashePrevoshoditelstvo», не правда ли? Хорошо подходит в качестве пароля и слово «bishenche-arty», которое в Москве не всякий знает, а вот в Казани...
Похоже, что данный способ защиты своей приватной информации многим придется по душе. Длинные слова в качестве пароля - лучшее решение.
И да, пароль необходимо периодически менять. Это старое правило остается в силе. Чтобы не забыть о нем, в длинный пароль стоит добавить несколько цифр или слов - дату смены пароля. Например, так: «SismaHazakaAd0119». Вводя этот пароль несколько раз на дню, не забудешь, что его следует сменить в январе 2019 года.
Статья опубликована на сайте
Школа жизниПолезные ссылки:
- The real rules for strong computer passwords
- Платная статья в «Wall Street Journal»
- Ее краткое изложение
- И изложение более длинное
- Генератор паролей
- Объяснение
- Критика этого способа
- Билл Барр повторяет: длинный пароль лучше