Создатель правил надежных паролей решил извиниться

Возможно, пароль ZTdut%tR — не лучший. Автор советов придумывать короткие и незапоминаемые пароли больше не считает, что это была удачная рекомендация. Об этом рассказывает Gizmodo со ссылкой на The Wall Street Journal.

За созданием популярных правил создания паролей стоит Билл Берр, бывший менеджер Национального института стандартов и технологий (NIST). В 2003 году он подготовил 8-страничное руководство о том, как создавать безопасные пароли под названием «Специальная публикация NIST 800−63».

Именно после этого документа стали популярны правила вроде «пароль должен состоять из больших и маленьких букв, цифр и спецсимволов» и «пароли нужно менять регулярно».

Сейчас Биллу 72 года, он чиновник в отставке и хочет извиниться. «Я сейчас жалею о многом из того, что сделал», — сказал Билл The Wall Street Journal. Он признался, что его правила основывались на документе, созданном в 1980-х годах, когда интернет в современном понимании еще не существовал.

«В итоге список рекомендаций был, вероятно, слишком сложным для многих людей, чтобы понять их достаточно хорошо, — признался он. — И, по правде говоря, мы лаяли не на то дерево».

Не стоит его обвинять — в 2003 году было не там много исследований безопасности паролей. Хотя сейчас ясно: длинная строка легко запоминаемых слов более защищена от взлома, чем короткий пароль со случайными знаками и спецсимволами.

Сейчас NIST пересматривает рекомендации о паролях. К примеру, исчезнет рекомендация об обязательной смене паролей каждые 90 ней. Принудительно изменять пароль будут советовать только в случае, если он был скомпрометирован. Когда же пользователи вынуждены придумывать новый пароль каждые три месяца, зачастую они просто меняют один символ. Такая практика вредит безопасности, а не укрепляет ее.