Новый стандарт надёжных паролей

Процедуры аутентификации и парольные политики подчиняются особым стандартам. Например, в США это NIST SP 800-63, Digital Identity Guidelines, который скоро выйдет в новой редакции, значительно отличающейся от версии 2017 года. Обновление отражает накопленный индустрией опыт и значительно изменит привычные правила выбора надёжного пароля. Стандарт состоит из рекомендаций и требований к компаниям, в системах которых пользователи создают пароли, но из них несложно вывести и требования к самим паролям. Итак, какой пароль в 2024 году считается надёжным?

Пароль обязан быть длинным: не короче 8 знаков, но рекомендуемый минимум — 15. Компаниям не рекомендовано ограничивать предельную длину пароля, но если система технически не может хранить сверхдлинный пароль, то ограничение длины должно быть хотя бы 64 знака.

При этом не требуется сочетать в пароле буквы разного регистра, цифры и значки. Всё это можно применять, но по желанию. В пароле могут быть пробелы и даже эмодзи! Единственное ограничение по содержимому пароля — он не должен входить в списки известных слабых паролей (qwerty, P@ssw0rd123, 123456 и так далее). Каждая компания будет трактовать последнее требование по-своему: кто-то ограничится чёрным списком из 1000 популярных паролей, а кто-то создаст список из всех расшифрованных паролей в крупных утечках данных.

Принципиальное нововведение — отмена требования регулярно менять (ротировать) пароль. Пароль нужно менять, только если есть подозрение, что он скомпрометирован. Одновременно запрещено использовать и хранить в системах подсказки для вспоминания пароля.

Анализ утечек паролей и поведения пользователей показал, что требования «добавьте цифры и значок» и «меняйте пароль ежеквартально» затрудняют жизнь пользователям, но слабо помогают в защите от настоящих кибератак. Согласно исследованию «Лаборатории Касперского», почти 60% реальных паролей пользователей можно подобрать менее чем за час.

Как выяснили китайские учёные, на требования увеличить сложность пароля пользователи реагируют предсказуемо и идут путём наименьшего сопротивления: делают заглавной первую букву, добавляют в конце цифру 1 или восклицательный знак.

Бесполезно и требование частых ротаций: пользователи меняют в конце пароля цифру 1 на 2, делают пароль короче, чтобы его проще было запомнить, начинают использовать одинаковый пароль в разных сервисах.

Отказ NIST от принудительной ротации паролей мотивирует пользователей создавать простые в запоминании и удобные в наборе длинные последовательности символов.

Современные сверхмощные видеокарты, пригодные для ИИ-вычислений и майнинга, очень эффективны в подборе паролей. Например, компания Hive Systems продемонстрировала, что пароль из 7 знаков можно подобрать максимум за месяц вне зависимости от того, из каких букв и знаков он состоит. Пароль, состоящий из одних только букв нижнего регистра, но имеющий длину 11 знаков, уже потребует 44 года. Мощность видеокарт растёт каждый год, а вместе с ней — и минимальная длина безопасного пароля. Требование NIST о пароле из 15 знаков выдвинуто «на вырост», чтобы пароли оставались безопасными ещё 5–10 лет.

Хакеры при атаках на базы паролей не только перебирают все возможные короткие пароли, но и применяют «словари паролей», комбинирующие слова, цифры и распространённые замены: pa$$w0rd, password123, PaSsWoRd и так далее. Что ещё важнее, в словари входят все расшифрованные пароли из предыдущих утечек. Так что даже относительно длинные и сложные пароли могут стать небезопасными, если использовались на нескольких сайтах одновременно и один из этих сайтов взломали.

Обновлённые требования NIST побуждают пользователей использовать длинные пароли, которые лучше будут сопротивляться попыткам подбора.

Авторы стандарта указывают, что надёжная защита учётных записей требует многих дополнительных мер, а не только стойких паролей. Например, стандартом предписано использование многофакторной аутентификации для важных сервисов, причём рекомендованы её варианты, устойчивые к фишингу, — либо аппаратные токены (YubiKey, Google Titan), либо хранящиеся в безопасном хранилище смартфона криптографические ключи доступа, passkeys.

Чтобы пароли не украли прямо с вашего устройства, на нём нужна защита от вредоносного ПО, а работу с онлайн-сервисами нужно вести через доверенный, защищённый от перехвата и прослушивания канал связи. С этим поможет новый сервис Membrana от МТС. Кроме того, в Membrana входит услуга защиты от утечек. Система мониторинга мгновенно оповестит вас, если ваши учётные данные попадут в какую-то свежую утечку, и на это можно будет оперативно отреагировать в том числе сменой пароля. Кроме того, временные адреса e-mail и номера телефонов, которые Membrana предоставляет клиентам для регистрации в онлайн-сервисах, затрудняют хакерам сопоставление различных украденных баз данных. Поэтому риск того, что одна утечка породит цепочку компрометации других ваших аккаунтов, значительно снизится.