Можливо, пароль Troub4d0r&3 – не найкращий, як це вважається досі. Автор правила придумувати короткі та складні для запам’ятовування паролі більше не вважає, що це була вдала рекомендація.
За створення популярних правил створення паролів варто дякувати Біллу Берру, колишньому менеджеру Національного інституту стандартів і технологій (NIST). У 2003 році він підготував 8-сторінковий посібник про те, як створювати безпечні паролі під назвою «Спеціальна публікація NIST 800-63».
Саме після цього документа стали популярними правила «пароль повинен складатися з великих і маленьких літер, цифр і спецсимволів» і «паролі потрібно змінювати регулярно».
Зараз Біллу 72 роки, він чиновник у відставці і хоче вибачитися. «Я зараз шкодую про багато що з того, що зробив», – сказав Білл виданню The Wall Street Journal. Він зізнався, що його правила ґрунтувалися на документі, створеному в 1980-х роках, коли інтернет в сучасному розумінні ще не існував.
«У підсумку список рекомендацій був, імовірно, занадто складним для багатьох людей, щоб зрозуміти їх досить добре, – зізнався він. – Щиро кажучи, ми гавкали не на те дерево».
Берра можна зрозуміти: у 2003 році було не так багато досліджень безпеки паролів. Хоча зараз зрозуміло: довгий рядок слів, які легко запам’ятовуються, більше захищений від злому, ніж короткий пароль з випадковими знаками і спецсимволами.
Зараз NIST переглядає рекомендації про паролі. Наприклад, зникне рекомендація про обов’язкову зміну паролів кожні 90 днів. Примусово змінювати пароль будуть радити тільки у випадку, якщо він був скомпрометований. Коли ж користувачі змушені придумувати новий пароль кожні три місяці, найчастіше вони просто змінюють один символ. Така практика шкодить безпеці, а не зміцнює її.