Почему люди все еще выбирают слабые пароли?

by Опубликовано

Если вы следили за новостями безопасности в последние дни, вы наверняка заметили, что несколько сайтов были взломаны так или иначе. Одна из них, служба Yahoo Voices, даже сохраняла пароли пользователей и информацию в виде простого текста, что является одним из самых больших запретов в мире разработки.

Причина этого проста. Представим, что злоумышленнику удается завладеть двумя пользовательскими базами данных. В одной из них пароли зашифрованы в той или иной форме, а в другой они перечислены в виде простого текста.

Чтобы получить доступ к учетным записям пользователей, злоумышленник должен сначала расшифровать пароли. Во втором случае ничего не нужно будет делать, потому что все данные уже есть на виду в базе данных.

С другой стороны, обычная текстовая база данных обеспечивает эксперты по безопасности, разбирающиеся в процессе выбора пароля. А в случае Yahoo Voices они обнаружили, что самые популярные пароли — это именно те, которыми они были бы десять или даже пятнадцать лет назад. Такие пароли, как «пароль», «123456» или «qwerty» считаются ненадежными паролями по ряду причин, в том числе они всегда находятся в верхней строке выбора при анализе баз данных паролей. Некоторые даже используются в фильмах, чтобы попасть в компьютер.

В случае Yahoo Voices не имело бы никакого значения, если бы вы выбрали «принцессу» в качестве пароля пользователя или «gGwPywfzNjPOnlKE98J», поскольку оба они были бы перечислены в виде обычного текста в базе данных.

безопасность паролейчерез XKCD

Однако люди должны спросить, почему пользователи все еще выбирают эти слабые пароли, а не безопасные. Во времена, когда менеджеры паролей доступны бесплатно, не имеет особого смысла, что эти пароли по-прежнему возглавляют списки популярности паролей.

Ответ на вопрос состоит из двух частей. Сначала эти пароли выбирают пользователи потому что они могут .

Во-вторых, так как операторы сайтов позволяют им . Если вы управляете веб-сайтом или сервисом, вам, очевидно, следует не сохранять свои пароли в виде обычного текста.

Но рядом с этим вы также можете придумать правила паролей, которые не позволят пользователям выбрать слабые пароли. Как это могло выглядеть? Например, вы можете увеличить минимальную длину пароля до десяти символов и потребовать от пользователей выбрать в пароле хотя бы число и специальный символ.

Если вы думаете, что это отталкивает некоторых пользователей, которые пытаются зарегистрироваться, но терпят неудачу, то вы, вероятно, правы в этом. Но очень вероятно, что большинство просто выберет безопасный пароль, если им действительно нравится присоединиться к сервису.

В свою очередь, их пароли лучше защищены от злоумышленников, которые пытаются проникнуть через веб-интерфейс или получить доступ к базе данных, в которой хранится информация о паролях.

Другой вариант — отображать предложения на странице регистрации. Вы можете предложить пользователям регистрироваться, чтобы выбрать пароли определенной минимальной длины без соблюдения этих правил. В то время как это определенно заставит некоторых выбрать безопасные пароли, другие могут проигнорировать предложения вместо этого выбрать легко запоминающийся «qwerty».

Каков ваш ответ на вопрос? Нужны ли нам более строгие правила использования паролей для повышения безопасности паролей? Или разные системы, заменяющие традиционные пароли? Давайте обсудим в разделе комментариев ниже.

Опубликовано admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *