Эксперт раскритиковал правила парольной защиты

Основатель популярного сервиса вопросов и ответов по программированию Stack Overflow Джефф Этвуд (Jeff Atwood) опубликовал любопытную статью, в которой раскритиковал политику парольной защиты, используемую разработчиками.

Текущий формат правил парольной защиты, который предполагает использование букв, цифр и специальных символов, не совсем надежен. Фактически, подобные правила контрпродуктивны, считает Этвуд.

«Серьезно [...] прекратите уже эту чепуху о произвольных паролях. Если не верите мне на слово, почитайте рекомендации NIST от 2016 года. Там четко сказано: "никаких правил композиции"», - заявил эксперт.

Еще одна ключевая проблема заключается в длине пароля, утверждает Этвуд. В частности надежный пароль должен состоять из 10 или более символов и разработчики должны обеспечить соблюдение этого правила.

«На сегодняшний день, учитывая состояния сферы облачных вычислений и случаи взломов хэшей паролей с помощью GPU, использовать пароль из 8 или менее символов - практически то же самое, что не использовать его вообще», - говорит основатель Stack Overflow.

Этвуд также призвал разработчиков усилить защиту от так называемых атак «по словарю». По его данным, порядка 30% пользователей устанавливают пароли, которые находятся в верхних строчках используемых злоумышленниками списков паролей.

В свою очередь, руководитель отдела информационной безопасности и конфиденциальности Google Хэзер Эдкинс (Heather Adkins) считает, что пароль - уже прошедший этап, а для защиты данных должна применяться двухфакторная аутентификация.

Источник