Парольная безопасность

Всем информационным безопасникам известны стандартные схемы повышения парольной безопасности. В частности, к таковым относятся:

  • Обязательная смена паролей по истечении определённого срока,
  • Автогенерация "бессмысленного" пароля с хорошим разнообразием символов и длиной, но который проблематично запомнить.

Эти новшества в последнее время вводят начиная от панелей хостинга, заканчивая интернет-банками. Я вижу всего два варианта, почему их вводят: чисто для бюрократии — что у нас есть парольный аудит и мы блюдём безопасность (с пониманием, что такая мера плохо работает) и когда инициатор действительно верит в то, что этим самым делает продукт безопаснее. Последнее в корне неверно.

А дело в том, что не будет пользователь, какой бы квалифицированный он не был, каждые 3 месяца получать "белибердовый" 12-значный пароль и запоминать его. А тётя Маша-бухгалтер и тем более не будет этого делать. Будут обходные пути и саботаж: пароль запишут на бумажку или ещё хуже — в файлик на компьютере. Причем, "тётя Маша" сделает это очевидным способом на самое видное место — рабочий стол, и ещё подпишет куда это вводить надо…

Понятно, что так не должно быть и это явное нарушение безопасности, но сама предложенная разработчиком схема прямо толкает на это нарушение — запоминать белиберду всё равно никто не будет.

Это отличный пример, когда хорошие в теории схемы повышения безопасности при бездумном применении на практике эту самую безопасность понижают. А в самых бездумных случаях вообще умножают на 0.

Господа безопасники, если читаете это: применяйте схемы разумно. Давайте выбирать пароль пользователю самому, проверку на сложность и длину сделать — элементарная программисткая задача. Срок действия пароля тоже должен быть разумый. И обучайте пользователей: один долгий пароль в памяти намного лучше десятка сменных, но на бумажке или в файлике.

Добавить комментарий

Ваш e-mail не будет опубликован.