Pages - Menu

Страницы

22.11.10

И вновь о выборе паролей

Полтора года назад я уже обращался к теме выбора паролей и вот новый виток привел меня туда же ;-) Microsoft недавно опубликовал свое исследование, в котором предложил выбирать пароли не как захочется, а используя статистику уже выбранных пользователями паролей. Иными словами предлагается автоматически исключать популярные пароли, даже если они соответствуют требованиям сложности, часть реализованным в различных системах и приложениях.

Другое интересное исследование изучает вопросы использования энтропии, как метрики для правильного выбора паролей. Идея этого исследования проста и понятна. Многие политики выбора паролей рекомендуют (требуют) использования в пароле не только букв, но цифр и специальных символов; букв в разных регистрах и т.д. Насколько это повышает защищенность пароля? Влияет ли длина пароля на его стойкость к взлому? Влияет ли на защищенность системы использование список запрещенных к использованию паролей? Именно ответу на эти вопросы и посвящено исследование сотрудников университета во Флориде, компаний Redjack и Cisco IronPort.

6 комментариев:

  1. хорошие пароли - это, конечно, здорово. Вот только что делать пользователям? Понятное дело, запомнить десяток адских паролей рядовой пользователь не в состоянии, а single sign-on на все сервисы - пока что утопия в большинстве компаний.
    И остаются варианты - пароли в браузере, пассворд менеджере (опция: текстовом файле) или в блокноте в ящике стола.
    В результате получаются стандартные грабли - система кажется намного более защищённой, чем это есть на самом деле.

    ОтветитьУдалить
  2. А про это полтора года назад говорили...

    ОтветитьУдалить
  3. Спасибо, Алексей, за актуализированную тему!

    Ваш/наш выбор это ОТР ( на СИМке или через СМС), ну и с гостом 34.11, конечно же, как это планируется для госуслуг:-)
    Даже дурацкая facebook переезжает на ОТР via SMS

    ОтветитьУдалить
  4. говорить то говорили, да ничего не выговорили.

    OTP - это следующий шаг после sso. Иначе неразумно. Про sso я уже сказал выше.

    публичным сервисам внедрение OTP, понятно, ничего не мешает (ну кроме того, что слать смски несколько затратно и такая защита должна быть экономически оправданной)

    ОтветитьУдалить
  5. Алексей, по-моему в одном из своих мифов рассказывает на определенные уязвимости, связанные с доставкой пароля по sms...
    Я, кстати, с ним полностью согласен

    ОтветитьУдалить
  6. SMS может как помочь, так и стать новым источником угрозы. Надо просто учитывать все особенности этой технологии.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.