Не очень давно, в 945 году произошёл один известный хак системы безопасности при помощи социнженерии. При осаде города Искоростеня киевская княгиня Ольга согласилась прекратить боевые действия, приняв символическую дань от города - по одному голубю и одному воробью от каждого двора. Но после передачи птиц, честно наловленных жителями, их выпустили, предварительно привязав к лапкам зажигательное оружие. Птицы немедленно вернулись по домам. Город сгорел.
Как ни странно, этот приём работает до сих пор.
Иные админы и безопасники настаивают на хранении паролей исключительно в голове. Часть пользователей на эту разводку попадается и запоминает свои секреты. Но поскольку мозг не резиновый, удержать в памяти удаётся только 3-4 пароля. Таким образом, если предложить человеку выбрать логин-пароль для регистрации в какой-либо системе, то с большой вероятностью он выберет так, что выдаст свой пароль в других системах. Когда это произошло, то НСД может случиться уже через несколько секунд после регистрации - в автоматическом режиме.
Простой человек, который не учил ни историю, ни информационную безопасность, уберечься не сможет. Поэтому взломанные аккаунты электронной почты и соцсетей
продаются на чёрном рынке по нескольку долларов за тысячу. Огромными партиями.
Думаю, пользователям надо попросту запретить запоминание. Так и в политику безопасности записать: на свою память не надейтесь.
Лучше выдать им маленькие чёрные книжечки или какие-нибудь иные портативные устройства для хранения паролей. Что вы говорите? Потеряет? Может быть, иной раз и потеряет. А каков размер убытков при утрате среднего пароля? Мы когда-то это дело оценивали - получилось порядка 1 000 рублей. Нормальный человек безо всякого страха носит в кошельке тысячерублёвую купюру. Даже несколько. И считает риск утраты вполне приемлемым. Почему же блокнотик с паролями нельзя носить?