1. Перейти до змісту
  2. Перейти до головного меню
  3. Перейти до інших проєктів DW

Змініть пароль до вашої електронної пошти!

Павло Лось
26 серпня 2017 р.

Те, що ми досі знали про надійність паролів для акаунтів у інтернеті, виявилося помилкою. Це визнав навіть той, хто розробив усі нинішні правила написання паролів.

https://p.dw.com/p/2isbT
Пароль до електронної пошти та кібербезпека
Фото: picture-alliance/dpa/J. Stratenschulte

Невже це скоїлось і з вами? Знову забули той надскладний пароль, який вам довелося вигадати на вимогу вашого комп'ютера в офісі або якого-небудь онлайн-сервісу, де маєте акаунт? Цей новий пароль від вас вимагають кожні 90 днів та ще й вказують різні його параметри: не менше 8 знаків, використання регістра (великі та малі літери), використання цифр і символів на кшталт!? / _ * тощо.

Гадаю, що відповідь буде "так", адже забутий пароль - це те, що трапляється сьогодні з мільйонами користувачів по всьому світу. За винятком тих, хто має звичку записувати пароль на папірці або придумувати "оригінальні" паролі на кшталт 12345678. Однак як одне, так і друге вважається цілковитою недбалістю в наш час хакерів і кіберзлочинності. Ніж вдаватися до такого, то вже краще іноді забувати складні паролі, кажуть експерти з комп'ютерної безпеки.

Покаяння автора "парольного божевілля"

Однак в серпні 2017 року відбулася подія, що може кардинально змінити ситуацію. Інтерв'ю американському виданню Wall Street Journal дав 72-річний Білл Бурр, котрий, власне, і є тим ідеологом правил створення надійних паролів, що зараз застосовуються у всьому світі. Він працював в NIST - Національному інституті стандартів і технологій США - і в 2003 році написав циркуляр під номером 800-63-3, де й сформулював чинні донині рекомендації щодо безпеки паролів. Циркуляр був прийнятий американськими державними структурами, потім приватними компаніями в країні - а вже згодом розійшовся по всьому світу.

Білл Бурр сьогодні називає нинішні правила "парольним божевіллям"
Білл Бурр сьогодні називає нинішні правила "парольним божевіллям"Фото: Fotolia/Yong Hian Lim

Та ось лишень деякі положення документа "були хибними", прямо і відверто заявив тепер Бурр в інтерв'ю. Він визнав, що не мав на той час вдосталь даних і у відповідях на деякі питання йому довелося спиратися на дослідження 1980-х років. Частина рекомендацій, що містилися в цих роботах, видалися йому розумними - приміром, використовуйте символи і частіше міняйте паролі. У підсумку ці поради він запозичив для свого циркуляра від 2003 року.

Зараз експерт чесно визнає: "Я дуже шкодую, що переклав на користувачів все це. Нам слід було тоді постаратися і спробувати вгадати те, що ми з'ясували дещо пізніше, набравшись досвіду".

"Пароль123"

Чимало фахівців, в принципі, з розумінням поставилися до покаяння Бурра - але закликали його не драматизувати. Як нагадав портал Naked Security, що спеціалізується на питаннях комп'ютерної безпеки, в 2003 році, в еру буму онлайн-сервісів, навіть не зовсім вірні тези Бурра зіграли величезну роль. Вони, наприклад, змусили безліч людей вперше задуматися про надійність своїх акаунтів і змінити свої примітивні паролі на кшталт "Пароль123" на трохи складніший "П@роль123!".

Але, в цілому, з переглядом принципів циркуляра Бурра в галузі згодні. Так, представники NIST підтвердили, що за ті 14 років, що минули після його публікації, вони проаналізували безліч баз даних з розкритими хакерами акаунтами користувачів - і в підсумку дійшли нових висновків. Ці висновки сформульовані в новому документі, оприлюдненому Національним інститутом стандартів і технологій, і котрий поступово повинен впроваджуватися в галузь.

Геть символи!

Новий циркуляр скасовує не всі принципи Бурра, а лише їх частину. Наприклад, міф про надійність паролів з символами !? / _ * тощо. Річ у тім, що злам паролів хакери здійснюють не вручну, а за допомогою програм - а для них абсолютно байдуже, який знак (літера, цифра чи символ) використаний в паролі. У підсумку символи нітрохи не підвищують надійності, зате додають мороки користувачам і лише роблять паролі такими, що частіше забуваються.

Другий міф - необхідність міняти паролі кожні 90 днів. Особливо часто це потрібно в офісах, але в реальності це призводить не до підвищення безпеки, а до її погіршення. Як показує статистика, змучені постійними змінами паролів користувачі з часом починають придумувати дедалі примітивніші комбінації знаків, а то і взагалі записувати їх де-небудь. Ніж так, то вже краще придумати надовго один хороший і складний пароль, кажуть сьогодні експерти. Єдиний виняток - це злам системи, після якого всім в офісі, звісно, треба міняти паролі.

Довгий пароль - це добре

Натомість давня рекомендація, що пароль має бути довгим, ще не втратила своєї актуальності. Більш того, запропоновані нині вісім знаків - це замало, розповів німецький комп'ютерний експерт Штефен Хашлер (Steffen Haschler) в інтерв'ю телерадіокомпанії SWR. Надійніші паролі від 10 до 20 знаків. Причому найкраще вибрати звичайну фразу, яку буде легко запам'ятати користувачеві, і трохи її модифікувати. Наприклад, "Чи живі чи здорові всі родичі гарбузові?", де замість пробілів вставляти, скажімо, цифри за числом літер в попередньому слові: "Чи2живі4чи2здорові7всі3родичі6гарбузові9?". Лише саме цю комбінацію використовувати вже не треба: хороший пароль треба придумувати самому, а не брати в інтернеті. Навіть на сайті DW.

І ось чого ще категорично не варто робити - це використовувати один і той самий пароль (нехай і надійний) для різних акаунтів. Як вважає Хашлер, це навіть важливіше, ніж надійність пароля як така. Адже якщо хакерами буде розкрита хоча б одна система, в якій користувач має обліковий запис, це відразу означає компрометацію всіх наявних у нього акаунтів.

Кібербезпека: Що заважає Україні захиститися від хакерів (10.07.2017)

Пропустити розділ Більше за темою