Ненадійні паролі легко запам’ятати, але також легко вгадати, надаючи зловмисникам можливість отримати доступ до облікових записів користувача. У зв’язку з цим представники Національного центру кібербезпеки Великобританії (National Cyber Security Centre, NCSC) рекомендують користувачам вибирати три випадкових слова в якості пароля.
NCSC закликав організації відмовитися від політик закінчення терміну дії паролів, тому що вони спонукають користувачів вибирати невеликі варіації існуючих паролів. NCSC також критично ставиться до порад про те, що паролі потрібно запам’ятовувати, а не зберігати. Фахівці рекомендують зберігати їх в диспетчері паролів, браузері або на аркуші паперу.
Експерти з NCSC заохочують використання трьох випадкових слів, оскільки люди погано запам’ятовують довгі і складні паролі.
Чому три випадкових слова?
Традиційна порада щодо паролів, побудована на основі “складності пароля”, зазнала невдачі, оскільки вона веліла нам робити те, чого більшість із нас просто не може (наприклад, запам’ятовувати багато довгих складних паролів).
Паролі, сформовані з трьох випадкових слів, допомагають користувачам створювати унікальні паролі, досить надійні для багатьох цілей і запам’ятовуються набагато легше. Це також добре для тих, хто не знає менеджерів паролів або неохоче ними користується. Однак є кілька інших причин:
Довжина
Паролі, зроблені з кількох слів, як правило, довші, ніж паролі з одного слова. Довжина – це загальна (і рекомендована) вимога до паролів, і сприяння використанню “парольної фрази”, створеної шляхом поєднання слів, дає спосіб досягти цього, не покладаючись на передбачувані шаблони.
Три випадкових слова можуть створити більш довгі і надійні паролі, а також допомагають збільшити різноманітність паролів, ускладнюючи зловмисникам використання пошукових алгоритмів для підбору облікових даних і подальшого зламу облікових записів.
Запам’ятовування
“Три випадкових слова” містять всю істотну інформацію в заголовку, і її можна швидко пояснити і легко запам’ятати навіть тим, хто не вважає себе комп’ютерними експертами.
Новизна
Стереотипний пароль – це єдине словникове слово або ім’я з передбачуваною заміною символів. Вибираючи кілька слів, ми негайно оскаржуємо це сприйняття та заохочуємо цілий ряд паролів, які раніше не враховувалися.
Юзабельність
Основною проблемою застосування вимог складності є те, що користувачам важко генерувати, запам’ятовувати та правильно вводити складні паролі без значних зусиль, що ще більше заохочує повторне використання паролів. Сила трьох випадкових слів полягає в їх зручності використання, оскільки безпека, яка не використовується, не працює. Пропоновані три випадкових слова також призначені для тих, хто не знає або не хоче використовувати менеджери паролів.
До речі, порада використовувати три випадкових слова приблизно відповідає рекомендаціям Google щодо захисту облікових записів користувачів. Паролі можна зробити довшим, використавши текст з пісні або вірша, змістовну цитату з фільму або виступу, уривок з книги, серію слів, які є значущими для користувача, або створити абревіатуру з пропозиції.
Окрім паролів: 4 ключові кроки безпеки, про які ви, ймовірно, забуваєте
