Сегодня 12 августа 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Концепция изменилась: пароли из наборов случайных символов больше не считаются хорошими

Использование сложных паролей с комбинацией различных типов символов и регулярная смена паролей признана Национальным институтом стандартов и технологий США (NIST) малоэффективной практикой, сообщает Forbes. Хакеры легко взламывают такие пароли. NIST опубликовал новые рекомендации для пользователей и компаний в рамках второго публичного документа NIST SP 800-63-4 по цифровой идентификации.

 Источник изображения: Copilot

Источник изображения: Copilot

Многие годы считалось, что для надёжности пароли должны быть максимально сложными, включать заглавные и строчные буквы, цифры и специальные символы. Предполагалось, что такие пароли будет сложнее угадать или взломать с помощью специальных программ. Однако со временем эксперты пришли к выводу, что чрезмерная сложность паролей приводит к обратному эффекту.

Согласно новому руководству, NIST больше не настаивает на соблюдении строгих правил, касающихся сложности паролей, а вместо этого рекомендует делать их длиннее. Причин для этого оказалось несколько. Во-первых, как показали исследования, пользователям сложно запоминать сложные пароли, что часто приводит к тому, что они начинают использовать один и тот же пароль на разных сайтах или придумывают слишком простую комбинацию символов, лишь бы соответствовать минимальным требованиям. Примером может служить пароль вроде «P@ssw0rd123», который технически соответствует сложным условиям, но легко поддаётся угадыванию.

Во-вторых, требование менять пароли каждые 60-90 дней, которое ранее было распространённой практикой во многих организациях, также больше не рекомендуется. Это требование часто только ухудшало ситуацию, так как приводило к созданию менее надёжных паролей из-за необходимости их частой смены. NIST рекомендует отказаться от сложных паролей в пользу длинных и простых, и объясняет почему.

Сила пароля часто измеряется понятием энтропии — количеством непредсказуемой комбинации символов. Чем выше энтропия, тем сложнее злоумышленникам взломать пароль методом подбора. Хотя сложность пароля может увеличивать энтропию, длина пароля на основе простых символов, как выяснилось, играет гораздо более важную роль.

NIST предлагает использовать длинные пароли, которые легко запомнить, в частности, фразы из нескольких простых слов. Например, пароль в форме фразы «bigdogsmallratfastcatpurplehatjellobat» будет как безопасным, так и удобным для пользователя, хорошо знающим английский язык. Такой пароль сочетает в себе высокую энтропию и лёгкость использования, что помогает избежать небезопасных привычек, таких как записывание паролей или повторное их использование.

Хотя современные технологии значительно упростили взлом коротких, но сложных паролей, тем не менее даже самые продвинутые алгоритмы сталкиваются с трудностями при попытке взлома длинных паролей из-за огромного числа возможных комбинаций. В качестве недавнего примера можно привести изменение пароля мэра Нью-Йорка Эрика Адамса (Eric Adams). Он заменил свой четырёхзначный код на шестизначный на личном смартфоне перед тем, как передать его правоохранительным органам. Это изменение увеличило количество возможных комбинаций подбора символов с 10 тысяч до 1 миллиона.

На сегодняшний день NIST рекомендует компаниям разрешить пользователям создавать пароли длиной до 64 символов. Такой длинный пароль, даже если он состоит только из строчных букв и знакомых слов, будет чрезвычайно сложен для взлома. А если добавить к нему заглавные буквы и символы, взлом такого пароля станет практически невозможным. Таким образом, в новых рекомендациях NIST сделал акцент на длину пароля как на главный фактор его безопасности.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Геймплейный трейлер раскрыл дату выхода Henry Halfhead — поучительного приключения про половину головы с умением вселяться в предметы 17 мин.
Senua’s Saga: Hellblade II вышла на PS5 сразу в расширенном издании, а на ПК получила поддержку Steam Deck и DLSS 4 31 мин.
Remedy признала провальный старт FBC: Firebreak и похвасталась продажами Control 55 мин.
Anthropic научила чат-бота Claude припоминать старые диалоги с пользователем 2 ч.
Илон Маск пригрозил Apple «незамедлительным» иском за занижение рейтинга Grok в App Store 3 ч.
Telegram заблокировал сотни каналов за мошенничество и шантаж 3 ч.
Telegram дважды за день оштрафовали в России за неудаление запрещённых материалов 4 ч.
США конфисковали серверы и $1 млн в биткоинах у хакеров-вымогателей BlackSuit 5 ч.
Эксперты надеются, что Трамп разберётся с Microsoft из-за её халатного отношения к безопасности 6 ч.
Изучай, расширяй, эксплуатируй, уничтожай: в Steam стартовал фестиваль 4X-стратегий, а Endless Legend 2 получила временную демоверсию 16 ч.
Появились первые игровые тесты Radeon RX 9060 — на 19 % быстрее RTX 5050 и чуть медленнее RTX 5060 21 мин.
Роскомнадзор провёл зачистку: в России стало на 15 млн активных SIM-карт меньше в этом году 57 мин.
Synergy Research: на второстепенных рынках колокейшн-сервисов зарегистрирован крупнейший рост год к году 2 ч.
Micron запустила массовые увольнения персонала в Китае 2 ч.
С начала года «Россети Московский регион» выявили более 145 тыс. нелегальных ВОЛС 3 ч.
Apple может выдохнуть: Трамп отложил 145-процентные пошлин на товары из Китая до ноября 3 ч.
InnoGrit выпустила SSD N3X со сверхнизкой задержкой для ИИ-систем 3 ч.
В 10 раз дешевле замены: CATL начала оказывать услуги по ремонту тяговых батарей в Китае 4 ч.
YADRO лидирует по показателю лояльности среди отечественных производителей серверов и СХД 4 ч.
Скидки и заканчивающиеся льготы оживили рынок электромобилей в США — продажи Tesla и других выросли на 20 % в июле 4 ч.