22.11.2010

И вновь о выборе паролей

Полтора года назад я уже обращался к теме выбора паролей и вот новый виток привел меня туда же ;-) Microsoft недавно опубликовал свое исследование, в котором предложил выбирать пароли не как захочется, а используя статистику уже выбранных пользователями паролей. Иными словами предлагается автоматически исключать популярные пароли, даже если они соответствуют требованиям сложности, часть реализованным в различных системах и приложениях.

Другое интересное исследование изучает вопросы использования энтропии, как метрики для правильного выбора паролей. Идея этого исследования проста и понятна. Многие политики выбора паролей рекомендуют (требуют) использования в пароле не только букв, но цифр и специальных символов; букв в разных регистрах и т.д. Насколько это повышает защищенность пароля? Влияет ли длина пароля на его стойкость к взлому? Влияет ли на защищенность системы использование список запрещенных к использованию паролей? Именно ответу на эти вопросы и посвящено исследование сотрудников университета во Флориде, компаний Redjack и Cisco IronPort.

6 коммент.:

Mikhail комментирует...

хорошие пароли - это, конечно, здорово. Вот только что делать пользователям? Понятное дело, запомнить десяток адских паролей рядовой пользователь не в состоянии, а single sign-on на все сервисы - пока что утопия в большинстве компаний.
И остаются варианты - пароли в браузере, пассворд менеджере (опция: текстовом файле) или в блокноте в ящике стола.
В результате получаются стандартные грабли - система кажется намного более защищённой, чем это есть на самом деле.

Алексей Лукацкий комментирует...

А про это полтора года назад говорили...

СВП комментирует...

Спасибо, Алексей, за актуализированную тему!

Ваш/наш выбор это ОТР ( на СИМке или через СМС), ну и с гостом 34.11, конечно же, как это планируется для госуслуг:-)
Даже дурацкая facebook переезжает на ОТР via SMS

Mikhail комментирует...

говорить то говорили, да ничего не выговорили.

OTP - это следующий шаг после sso. Иначе неразумно. Про sso я уже сказал выше.

публичным сервисам внедрение OTP, понятно, ничего не мешает (ну кроме того, что слать смски несколько затратно и такая защита должна быть экономически оправданной)

Aleks305 комментирует...

Алексей, по-моему в одном из своих мифов рассказывает на определенные уязвимости, связанные с доставкой пароля по sms...
Я, кстати, с ним полностью согласен

Алексей Лукацкий комментирует...

SMS может как помочь, так и стать новым источником угрозы. Надо просто учитывать все особенности этой технологии.