Багато людей все ще роблять свої паролі занадто простими. Shutterstock / Віталій Водолазький

Понад 15 років від технічних лідерів існують різні прогнози щодо смерті паролів. Білл Гейтс передбачив це ще в 2004 і Microsoft передбачав це на 2021 рік. Між ними було чимало подібних заяв, поряд із постійною критикою паролів як неадекватного засобу захисту.

Проте паролі залишаються загальним аспектом кібербезпеки, чим люди користуються щодня. Більше того, паролі поки не мають ознак зникнення. Але багато людей як і раніше використовувати їх погано і, здається, не знають про рекомендовану належну практику.

Це дуже часто для експертів з кібербезпеки та компанії звинувачують користувачів за погане використання паролів, не визнаючи, що системи дозволяють їх неправильний вибір.

Багато веб-сайтів не пропонують попередніх вказівок щодо вибору паролів, які вони вимагають від нас, можливо, припускаючи, що ми вже знаємо ці речі або можемо їх дізнатись в іншому місці. Але те, що люди наполягають у використанні слабких паролів припускає, що це оптимістичний погляд.

Застаріла порада

На додаток до відсутності вказівок, часто зустрічаються веб-сайти, що забезпечують застосування застарілих вимог щодо пароля. Ви, мабуть, знайомі з системами, які наполягають на складності паролів, вимагаючи великих літер, цифр або спеціальних символів, щоб посилити паролі (наша відповідь на які часто відображає відео нижче).

Тим не менш, чинні інструкції полягає в тому, щоб дозволити складність, але не вимагати цього, і в основному розглядати надійність пароля як синонім довжини пароля.

Команда Національний центр кібербезпеки рекомендує створити довгий пароль, поєднуючи три випадкові слова, дозволяючи щось довше і запам'ятовується, ніж багато стандартних варіантів.

Спроби мого пароля

Також непомітно те, що замість того, щоб давати вказівки та вимоги спочатку, багато веб-сайтів лише розкривають правила у відповідь на те, що ми намагаємось робити те, що заборонено. Я спробував створити пароль для одного з таких сайтів. Більшість моїх спроб отримували відгуки, що вимагали подальших дій, поки я не зупинився на остаточному виборі, який був прийнятий без скарги. Але прийнятий пароль, Стів !, був коротким і досить передбачуваним.

Боротьба з правилами. Стівен Фурнелл, Автор надано

Коли я трохи більше погрався, були прийняті різні інші слабкі варіанти. Наприклад 1234a !, abcde1 та qwert! всі задовольнили правила, як і Furnell1 - що не є особливо сильним, особливо, оскільки я вже ввів Furnell як своє прізвище в іншому місці у формі реєстрації.

Тим часом, правила часто означають, що ми не можемо використовувати паролі, які наші пристрої автоматично генерують для нас, або ті, які ми можемо створити для себе, дотримуючись поточних вказівок.

Багато веб-сайтів не дозволяють створювати паролі. Стівен Фурнелл

Здається, деякі сайти можуть компенсувати відсутність настанов, використовуючи такі методи, як вимірювачі паролів, щоб оцінити наш вибір. Однак, хоча вони дають зворотній зв’язок, вони не можуть замінити настанови щодо того, як добре виглядає.

Використовуючи інший сайт, я ввів неправильний пароль (слово пароль), і єдиним відгуком, який я отримав, було те, що пароль дуже слабкий. Якщо користувач справді пропонував цей пароль як спробу, йому потрібно сказати, чому він слабкий. Незважаючи на те, що можна без сумніву знайти деякі сайти, що дають кращі та інформативніші відгуки, цей приклад, на жаль, репрезентативний для багатьох інших.

Правила, яких слід дотримуватися

Звичайно, підкресливши відсутність ефективних вказівок, було б неможливо закінчити, фактично не пропонуючи деяких. Керівництво NCSC щодо вибору та використання паролів перелічено та коротко пояснено нижче:

1. Використовуйте надійний та окремий пароль для електронної пошти - оскільки це часто ваш шлях до доступу до інших облікових записів.
2. Створіть надійні паролі, використовуючи три випадкові слова - це дасть вам сильніші та запам’ятовуються паролі.
3. Зберігайте свої паролі у своєму браузері - це запобігає їх забуванню або втраті.
4. Увімкніть двофакторну автентифікацію - це додає додатковий елемент захисту, навіть якщо ваш пароль порушено.

Корисно доповнити це додатковими нагадуваннями не робити використовувати той самий пароль у кількох облікових записах через страх, що порушення одного призведе до порушення всіх, щоб не ділитися ними з іншими людьми, оскільки тоді це вже не ваш пароль, і не вести про них виявлену інформацію. Зберігати їх у захищеному місці, наприклад, в інструменті керування паролями, чудово.

Турбує думка, що паролі існують десятки років, і ми все ще помиляємось. І це лише один із аспектів кібербезпеки, який ми повинні використовувати належним чином. Це не веде нічого доброго для кібербезпеки більш широко.

про автора

Стівен Фурнелл, Професор кібербезпеки, Ноттингемський університет

book_security

Ця стаття перевидана з Бесіда за ліцензією Creative Commons. Читати оригінал статті.