Всем информационным безопасникам известны стандартные схемы повышения парольной безопасности. В частности, к таковым относятся:
- Обязательная смена паролей по истечении определённого срока,
- Автогенерация «бессмысленного» пароля с хорошим разнообразием символов и длиной, но который проблематично запомнить.
Эти новшества в последнее время вводят начиная от панелей хостинга, заканчивая интернет-банками. Я вижу всего два варианта, почему их вводят: чисто для бюрократии — что у нас есть парольный аудит и мы блюдём безопасность (с пониманием, что такая мера плохо работает) и когда инициатор действительно верит в то, что этим самым делает продукт безопаснее. Последнее в корне неверно.
А дело в том, что не будет пользователь, какой бы квалифицированный он не был, каждые 3 месяца получать «белибердовый» 12-значный пароль и запоминать его. А тётя Маша-бухгалтер и тем более не будет этого делать. Будут обходные пути и саботаж: пароль запишут на бумажку или ещё хуже — в файлик на компьютере. Причем, «тётя Маша» сделает это очевидным способом на самое видное место — рабочий стол, и ещё подпишет куда это вводить надо…
Понятно, что так не должно быть и это явное нарушение безопасности, но сама предложенная разработчиком схема прямо толкает на это нарушение — запоминать белиберду всё равно никто не будет.
Это отличный пример, когда хорошие в теории схемы повышения безопасности при бездумном применении на практике эту самую безопасность понижают. А в самых бездумных случаях вообще умножают на 0.
Господа безопасники, если читаете это: применяйте схемы разумно. Давайте выбирать пароль пользователю самому, проверку на сложность и длину сделать — элементарная программисткая задача. Срок действия пароля тоже должен быть разумый. И обучайте пользователей: один долгий пароль в памяти намного лучше десятка сменных, но на бумажке или в файлике.