Эксперт раскритиковал правила парольной защиты

Разработчик известного проекта для программистов Stack Overflow Джефф Этвуд выложил интересный обзор, критикующий эксплуатируемую программистами политику построения паролей.

Используемый список правил для придания силы паролю, включающий буквенно-цифровой набор и различные специальные знаки не имеет достаточной надежности. По сути, данные правила антипродуктивны, думает Этвуд.

Он предложил разработчикам перестать заниматься «чепухой» по поводу произвольных паролей. По его словам, в рекомендациях NIST прошлого года было сказано о том, что нет никаких правил для создания пароля.

Еще один нюанс, нарушающий силу паролей составляет его длина по мнению Этвуда. Конкретнее правильный пароль должен быть из более чем десяти знаков и программисты обязаны внедрить подобное правило в своих системах.

По словам создателя Stack Overflow на текущий момент если брать состояния области облачных компьютеризаций и случаи брутфорса парольных хешей при помощи видеокарты GPU, то использование паролей меньше чем восьми символов крайне не рекомендуется и равноценно не использованию пароля вообще.

Также он просил программистов создать усиление защиты от словарных брутфорсовых атак. Как он считает, около тридцати процентов людей создают такие пароли какие находятся в чарте взломанных хакерами паролей.

Также начальник группы по IT security и защиты Google Хезер Эдкинс полагает о том, что пароли как таковые уже должны кануть в прошлое, а для реальной защиты необходима авторизация в 2 шага.