Полтора года назад я уже обращался к теме выбора паролей и вот новый виток привел меня туда же 😉 Microsoft недавно опубликовал свое исследование, в котором предложил выбирать пароли не как захочется, а используя статистику уже выбранных пользователями паролей. Иными словами предлагается автоматически исключать популярные пароли, даже если они соответствуют требованиям сложности, часть реализованным в различных системах и приложениях.
Другое интересное исследование изучает вопросы использования энтропии, как метрики для правильного выбора паролей. Идея этого исследования проста и понятна. Многие политики выбора паролей рекомендуют (требуют) использования в пароле не только букв, но цифр и специальных символов; букв в разных регистрах и т.д. Насколько это повышает защищенность пароля? Влияет ли длина пароля на его стойкость к взлому? Влияет ли на защищенность системы использование список запрещенных к использованию паролей? Именно ответу на эти вопросы и посвящено исследование сотрудников университета во Флориде, компаний Redjack и Cisco IronPort.
хорошие пароли — это, конечно, здорово. Вот только что делать пользователям? Понятное дело, запомнить десяток адских паролей рядовой пользователь не в состоянии, а single sign-on на все сервисы — пока что утопия в большинстве компаний.
И остаются варианты — пароли в браузере, пассворд менеджере (опция: текстовом файле) или в блокноте в ящике стола.
В результате получаются стандартные грабли — система кажется намного более защищённой, чем это есть на самом деле.
А про это полтора года назад говорили…
Спасибо, Алексей, за актуализированную тему!
Ваш/наш выбор это ОТР ( на СИМке или через СМС), ну и с гостом 34.11, конечно же, как это планируется для госуслуг:-)
Даже дурацкая facebook переезжает на ОТР via SMS
говорить то говорили, да ничего не выговорили.
OTP — это следующий шаг после sso. Иначе неразумно. Про sso я уже сказал выше.
публичным сервисам внедрение OTP, понятно, ничего не мешает (ну кроме того, что слать смски несколько затратно и такая защита должна быть экономически оправданной)
Алексей, по-моему в одном из своих мифов рассказывает на определенные уязвимости, связанные с доставкой пароля по sms…
Я, кстати, с ним полностью согласен
SMS может как помочь, так и стать новым источником угрозы. Надо просто учитывать все особенности этой технологии.