Возможно, пароль Troub4d0r&3 – не самый лучший, как это считается до сих пор. Автор правила придумывать короткие и сложные для запоминания пароли больше не считает, что это была удачная рекомендация.
За создание популярных правил создания паролей стоит благодарить Билла Берра, бывшего менеджера Национального института стандартов и технологий (NIST). В 2003 году он подготовил 8-страничное руководство о том, как создавать безопасные пароли под названием «Специальная публикация NIST 800-63».
Именно после этого документа стали популярны правила «пароль должен состоять из больших и маленьких букв, цифр и спецсимволов» и «пароли нужно менять регулярно».
Сейчас Биллу 72 года, он чиновник в отставке и хочет извиниться. «Я сейчас жалею о многом из того, что сделал», – сказал Билл изданию The Wall Street Journal. Он признался, что его правила основывались на документе, созданном в 1980-х годах, когда интернет в современном понимании еще не существовал.
«В итоге список рекомендаций был, вероятно, слишком сложным для многих людей, чтобы понять их достаточно хорошо, – признался он. – По правде говоря, мы лаяли не на то дерево».
Берра можно понять: в 2003 году было не так много исследований безопасности паролей. Хотя сейчас ясно: длинная строка легко запоминающихся слов более защищена от взлома, чем короткий пароль с случайными знаками и спецсимволами.
Сейчас NIST пересматривает рекомендации о паролях. Например, исчезнет рекомендация про обязательную смену паролей каждые 90 ней. Принудительно менять пароль будут советовать только в случае, если он был скомпрометирован. Когда же пользователи вынуждены придумывать новый пароль каждые три месяца, чаще всего они просто меняют один символ. Такая практика вредит безопасности, а не укрепляет ее.
