Змініть пароль до вашої електронної пошти!

Невже це скоїлось і з вами? Знову забули той надскладний пароль, який вам довелося вигадати на вимогу вашого комп'ютера в офісі або якого-небудь онлайн-сервісу, де маєте акаунт? Цей новий пароль від вас вимагають кожні 90 днів та ще й вказують різні його параметри: не менше 8 знаків, використання регістра (великі та малі літери), використання цифр і символів на кшталт!? / _ * тощо.

Гадаю, що відповідь буде "так", адже забутий пароль - це те, що трапляється сьогодні з мільйонами користувачів по всьому світу. За винятком тих, хто має звичку записувати пароль на папірці або придумувати "оригінальні" паролі на кшталт 12345678. Однак як одне, так і друге вважається цілковитою недбалістю в наш час хакерів і кіберзлочинності. Ніж вдаватися до такого, то вже краще іноді забувати складні паролі, кажуть експерти з комп'ютерної безпеки.

Покаяння автора "парольного божевілля"

Однак в серпні 2017 року відбулася подія, що може кардинально змінити ситуацію. Інтерв'ю американському виданню Wall Street Journal дав 72-річний Білл Бурр, котрий, власне, і є тим ідеологом правил створення надійних паролів, що зараз застосовуються у всьому світі. Він працював в NIST - Національному інституті стандартів і технологій США - і в 2003 році написав циркуляр під номером 800-63-3, де й сформулював чинні донині рекомендації щодо безпеки паролів. Циркуляр був прийнятий американськими державними структурами, потім приватними компаніями в країні - а вже згодом розійшовся по всьому світу.

Та ось лишень деякі положення документа "були хибними", прямо і відверто заявив тепер Бурр в інтерв'ю. Він визнав, що не мав на той час вдосталь даних і у відповідях на деякі питання йому довелося спиратися на дослідження 1980-х років. Частина рекомендацій, що містилися в цих роботах, видалися йому розумними - приміром, використовуйте символи і частіше міняйте паролі. У підсумку ці поради він запозичив для свого циркуляра від 2003 року.

Зараз експерт чесно визнає: "Я дуже шкодую, що переклав на користувачів все це. Нам слід було тоді постаратися і спробувати вгадати те, що ми з'ясували дещо пізніше, набравшись досвіду".

"Пароль123"

Чимало фахівців, в принципі, з розумінням поставилися до покаяння Бурра - але закликали його не драматизувати. Як нагадав портал Naked Security, що спеціалізується на питаннях комп'ютерної безпеки, в 2003 році, в еру буму онлайн-сервісів, навіть не зовсім вірні тези Бурра зіграли величезну роль. Вони, наприклад, змусили безліч людей вперше задуматися про надійність своїх акаунтів і змінити свої примітивні паролі на кшталт "Пароль123" на трохи складніший "П@роль123!".

Але, в цілому, з переглядом принципів циркуляра Бурра в галузі згодні. Так, представники NIST підтвердили, що за ті 14 років, що минули після його публікації, вони проаналізували безліч баз даних з розкритими хакерами акаунтами користувачів - і в підсумку дійшли нових висновків. Ці висновки сформульовані в новому документі, оприлюдненому Національним інститутом стандартів і технологій, і котрий поступово повинен впроваджуватися в галузь.

Геть символи!

Новий циркуляр скасовує не всі принципи Бурра, а лише їх частину. Наприклад, міф про надійність паролів з символами !? / _ * тощо. Річ у тім, що злам паролів хакери здійснюють не вручну, а за допомогою програм - а для них абсолютно байдуже, який знак (літера, цифра чи символ) використаний в паролі. У підсумку символи нітрохи не підвищують надійності, зате додають мороки користувачам і лише роблять паролі такими, що частіше забуваються.

Другий міф - необхідність міняти паролі кожні 90 днів. Особливо часто це потрібно в офісах, але в реальності це призводить не до підвищення безпеки, а до її погіршення. Як показує статистика, змучені постійними змінами паролів користувачі з часом починають придумувати дедалі примітивніші комбінації знаків, а то і взагалі записувати їх де-небудь. Ніж так, то вже краще придумати надовго один хороший і складний пароль, кажуть сьогодні експерти. Єдиний виняток - це злам системи, після якого всім в офісі, звісно, треба міняти паролі.

Довгий пароль - це добре

Натомість давня рекомендація, що пароль має бути довгим, ще не втратила своєї актуальності. Більш того, запропоновані нині вісім знаків - це замало, розповів німецький комп'ютерний експерт Штефен Хашлер (Steffen Haschler) в інтерв'ю телерадіокомпанії SWR. Надійніші паролі від 10 до 20 знаків. Причому найкраще вибрати звичайну фразу, яку буде легко запам'ятати користувачеві, і трохи її модифікувати. Наприклад, "Чи живі чи здорові всі родичі гарбузові?", де замість пробілів вставляти, скажімо, цифри за числом літер в попередньому слові: "Чи2живі4чи2здорові7всі3родичі6гарбузові9?". Лише саме цю комбінацію використовувати вже не треба: хороший пароль треба придумувати самому, а не брати в інтернеті. Навіть на сайті DW.

І ось чого ще категорично не варто робити - це використовувати один і той самий пароль (нехай і надійний) для різних акаунтів. Як вважає Хашлер, це навіть важливіше, ніж надійність пароля як така. Адже якщо хакерами буде розкрита хоча б одна система, в якій користувач має обліковий запис, це відразу означає компрометацію всіх наявних у нього акаунтів.