Являются ли сложные пароли устаревшими?

Сложные пароли, в которых используются комбинации символов и которые часто изменяются, больше не являются лучшим методом управления паролями.

Эта информация основана на недавно опубликованном руководстве Национального института стандартов и технологий США (NIST), который разрабатывает и выпускает рекомендации, помогающие организациям защитить информационные системы.

Являются ли сложные пароли устаревшими? Изображение 1

В течение многих лет эксперты и поставщики услуг отдавали предпочтение сложным паролям, состоящим из прописных и строчных букв, цифр и символов, поскольку считается, что они затрудняют угадывание или взлом паролей с помощью перебора.

Однако сложные пароли контрпродуктивны и фактически ослабляют безопасность. Сложные пароли побуждают пользователей развивать вредные привычки, такие как выбор простых паролей или повторное использование старых паролей.

В своих последних рекомендациях NIST рекомендует использовать более длинные пароли вместо сложных.

Первая причина заключается в том, что людям часто трудно запомнить сложные пароли, что заставляет их использовать пароли, которые легко угадать, или использовать один и тот же пароль для нескольких сайтов. Ситуация усугубляется тем фактом, что многие организации требуют менять пароль каждые 60–90 дней, чего NIST больше не рекомендует.

Надежность пароля часто измеряется энтропией — количеством возможных комбинаций, которые можно создать с использованием символов пароля. Чем больше количество комбинаций, тем сложнее взломать пароль методом перебора или угадывания.

Длина играет гораздо большую роль в количестве возможных комбинаций, чем сложность. Более длинный пароль с большим количеством символов имеет экспоненциально больше возможных комбинаций.

Вторая причина заключается в том, что длинные пароли, состоящие из множества простых слов, легче запомнить, что гарантирует, что пользователи не будут прибегать к небезопасным методам, таким как запись паролей или их повторное использование.

Кроме того, длинные пароли из-за большого количества возможных комбинаций труднее взломать сложным алгоритмам, чем короткие и сложные пароли.

Например, изменение пароля с 4 цифр на 6 цифр увеличивает количество возможных комбинаций с 10 000 до 1 000 000.

NIST рекомендует пользователям создавать пароли длиной до 64 символов. Пароль, в котором используются только строчные буквы и слова, чрезвычайно сложно взломать, а пароль, включающий заглавные буквы и символы, становится математически невозможным.

Карим Уинтерс