Проблемы безопасности, связанные с надежностью паролей, были актуальны всегда, и за последние годы ситуация существенно не улучшилась, констатируют специалисты.
Сегодня движение идет в сторону защиты сервисов с помощью двухфакторной аутентификации: когда, скажем, помимо знания кодовой фразы (пароля) пользователем проверяется код, полученный им в SMS, говорит Артем Гавриченков, технический директор Qrator Labs.
По его словам, делается это по той причине, что безоговорочное доверие к парольной аутентификации давно исчезло - настолько велики стали проблемы надежности и хранения паролей.
Что же делать пользователям? Хороший пароль похож на случайный набор символов, и он достаточно длинный, говорит Николай Анисеня, руководитель группы исследований безопасности мобильных приложений Positive Technologies. Проект по обеспечению безопасности веб-приложений OWASP рекомендует использовать не менее 10 символов верхнего и нижнего регистра, хотя бы одну цифру и хотя бы один спецсимвол, уточняет Анисеня.
Впрочем, если следовать обновленным рекомендациям Национального института стандартов и технологий США (The National Institute of Standards and Technology, NIST), сейчас пользователям уже стоит придумывать пароль в несколько десятков символов, вплоть до 64 знаков.
Также NIST советует использовать специальные программы - менеджеры паролей. Причем, как для создания кодовых фраз с достаточным числом произвольных символов, так и для их хранения. В этом случае пользователю не нужно придумывать и запоминать сложные пароли - за него это будет делать надежная программа. Практически единственные кодовые фразы, которые нужно будет помнить, - это пароль от самого хранилища паролей и от основной почты пользователя, поясняет Гавриченков.
Современный пароль - это уже не одно кодовое слово, а целая кодовая фраза. Если она хранится в менеджере паролей, то может быть произвольной. Но если фраза предназначена для запоминания, то имеет смысл фокусироваться не только на том, чтобы она была устойчивой к взлому, но и на том, чтобы легко запоминалась, не бояться задавать очень длинные фразы, советует Гавриченков. Можно фактически включать целые строчки, которые человек хорошо помнит с детства, или комбинации слов (с пробелами или иными знаками препинания), которые имеют для него определенный смысл, модифицировать их, придумывать собственные правила для кодирования таких фраз. Главное - чтобы пароль был длиной не менее пары-тройки десятков символов, проходил проверку на стойкость и хорошо откладывался в памяти.
Если пароль узнали злоумышленники, важно правильно сменить его, добавляет Николай Анисеня. Плохая идея - просто добавить "1" в конце или написать слово с заглавной буквы. Как показывают исследования, это самые распространенные парольные мутации, которые приходят в голову людям, и злоумышленники об этом знают.