Про сложность паролей

Про сложность паролей

В который раз столкнулся с глупостью, связанной с парольными политиками. Поэтому раскрою в этом посте, чтобы потом просто можно было на него скидывать ссылку.

Единственное ограничение, которое усложняет пользовательский пароль — это минимальное количество символов.

Это тупо база.

Любые требования со стороны системы к пользовательскому паролю сокращают словарь. Вот пример: — Должна быть минимум одна цифра. Сразу любой «самый super сложный password эвер» не подойдет. Просто огромнейший пласт паролей без цифр, которые невозможно подобрать не подойдут.

Пароль из менюшки браузера «Сгенерировать надежный пароль» не подойдёт.

Это вообще удар по UX между ног!

Хакер может взять свой словарь с миллиардом строк и тупо выкинуть миллионы паролей без цифр. - А потом выкинуть все пароли без заглавных букв - Выкинуть все пароли с кириллицей - Выкинуть все пароли без спецсимволов

И останется у него в словаре из условного миллиарда парочка миллионов. Спасибо, облегчили хакеру работу!

Еще раз повторю.

Надежная система не устанавливает ограничения на пароли пользователей. Более того, максимально расширяет словарь символов, из которых может состоять пароль: разрешает кириллицу, смайлики и всякие иероглифы. Но не принуждает их использовать!

Обратите внимание на криптанов. Почему сид фраза от кошелька с сотней биткоинов — 24 простых английских слова? А не типичное «якобы безопасное»: ertghiue$Y*7345thbG347@¢G2RH.

Подумайте об этом!

© Записки тимлида