Мы используем их каждый день, но вот какая штука:
- пароль - это не просто набор символов, а взаимодействие человека и системы. Его устойчивость зависит не только от сложности, но и от способности пользователя правильно запомнить и ввести его. Сложные, но короткие пароли часто приводят к нежелательным последствиям: записыванию пароля в небезопасных местах или использованию одинаковых паролей для разных систем.
- старые требования, например включение разных типов символов, возникли в условиях ограничений, таких как длина пароля (обычно 8 символов). В таких условиях разнообразие символов действительно повышало стойкость пароля. Однако эти рекомендации устарели из-за появления более совершенных методов взлома и возможностей современных систем поддерживать длинные пароли.
- сейчас не старые времена, признано, что длинные пароли, особенно состоящие из слов, которые формируют псевдоосмысленные предложения, могут быть значительно устойчивее и легче запоминаемыми. Например, фраза из 5-6 слов длиной 30-40 символов обеспечивает куда более высокую стойкость, чем сложный, но короткий пароль из 8 символов. Пример:
"МойКрасныйКотПрыгалНаСобаку", "ЗимойСнегПадаетНаМягкиеСосныКругомТишина". (и конечно подлиннее пишите)
Такой пароль легко запомнить, но его чрезвычайно сложно взломать методом перебора
Современные рекомендации
Некоторые стандарты (например, NIST SP 800-63B) уже отказываются от устаревших требований. Вместо этого предлагается:
Минимальная длина пароля (не менее 12 символов).
Разрешение использования любых символов, включая пробелы.
Исключение требований к разнообразию символов.
Проверка паролей на предмет их нахождения в списках ранее скомпрометированных паролей.