«Эти Дурацкие Правила, Которые Всех Раздражают»: Обсуждение Практик Работы С Полями Пароля

Недавно на GitHub опубликовано список ресурсов с неоправданно сложными и просто плохими правилами паролей.

Подборка активно обсуждается, и мы решили присоединиться к обсуждению.

Фото - Эндрю Хантер — Unsplash

Неизвестная длина пароля

Джефф Этвуд, автор блога Stack Overflow и Coding Horror примечания что минимум десять символов снижают вероятность того, что пользователь введет слабый или популярный пароль на 80%.

Но есть ресурсы, которые сообщают минимальную длину пароля, но не указывают наличие верхнего порога.

В выбор Вы можете найти примеры сайтов крупных вендоров, где в поле ввода пароля разрешены фразы длиной до 20 символов.

Но узнать об этом ограничении можно только методом проб и ошибок.

Разработчики сайта электронной системы оплаты дорог в США пошли дальше.

Поле пароля в целом обрезки «лишние» символы.

Пользователи не сразу понимают, почему пароли не совпадают при вводе в соответствующие поля.

Похожая проблема Есть на сайте новозеландского авиаперевозчика.

Более того, оно отображается не на всех страницах.

Таких ресурсов много - резидент Hacker News примечания , что он уже потерял счет, сколько раз ему приходилось вручную модифицировать JS-скрипты во вкладке «Источник» браузера, чтобы пароли обрабатывались нормально.

Есть мнение что проблема с «сокращением» паролей скрыта в способе их хранения.

Возможно, обращения происходят в открытом виде (без хеширования) — например, в базе данных с полем varchar.

Регулярно меняйте пароль

нет никакого смысла .

В начале года от регулярной смены паролей отказался даже в Microsoft. Но не все пошли по их стопам.

Например, американская компания, разрабатывающая приложения для кредитных и ипотечных организаций, требует требуют от пользователей менять пароль каждые шесть месяцев.

Один из резидентов Hacker News рассказывает что его компании необходимо менять пароль каждые три месяца.

Это его сильно раздражает. В этом случае программное обеспечение, отвечающее за ротацию, путает порядок специальных символов при сохранении новых данных аутентификации.

Вход по измененному паролю становится невозможен.

Пока ситуация не будет исправлена, он вынужден использовать более слабые буквенно-цифровые фразы.

Требование регулярной смены пароля также приводит к тому, что сотрудники компании начинают повторно использовать предыдущие идентификаторы.

Еще один пользователь HN сказал , что он работал с одним оператором связи, где сотрудник использовал всего два пароля для входа в свою учетную запись: «Апрель1999!» или «Март 1999 года!» Требования к паролю они выполнили лишь формально: прописные и строчные буквы, цифры и символы.

Входной контроль

Инженеры Национального центра кибербезопасности США примечание что никто не видел ни одной научной статьи, исследования, правила или RFC на эту тему.

Они также говорят, что это плохая практика, снижающая безопасность.

Посетители ресурса теряют возможность использовать менеджеры и генераторы паролей.

В результате они выбирают простые пароли, чтобы не терять время и быстрее получить доступ к ресурсам.

В свое время против блокировки вставок еще и высказался Региональный директор Microsoft Трой Хант и Проводной редактор Джозеф Кокс.

Фото - Мэтью Бродер — Unsplash

Обратите внимание, что плагин Don’t F*ck With Paste для Хром И Fire Fox .

Вы также можете решить проблему вручную в настройках.

Например, для флага «огненная лиса» о:config: dom.event.clipboardevents.enabled нужно переключиться на ЛОЖЬ .

Однако это может нарушить скопируйте/вставьте работу в Документах Google. Для борьбы с блокировкой копирования/вставки один из резидентов Hacker News написал собственный скрипт — AutoHotKey. Он считывает данные из буфера обмена и затем печатает их один за другим в поле ввода с задержкой 100–200 мс.

Кто стандартизирует политику паролей?

Например, Национальный институт стандартов и технологий США (NIST) составляет структуру НИСТ 800-63Б .

Там указано, что длина пароля должно быть не менее восьми символов.

При этом сайты просят устанавливать максимальную длину пароля не менее 64 символов.

Выбранный пароль не должен входить в список самых популярных фраз и не должен содержать повторяющиеся буквы и цифры («аааааа» или «1234abcd»).

Краткое изложение, объясняющее эти правила готовый инженеры компании Sophos, производящей средства информационной безопасности для серверов и ПК.

Многие сайты уже соответствуют стандарту NIST. Например, ресурс login.gov, предоставляющий услуги аутентификации для правительственных порталов США.

Существуют и другие рамки (например, ХИТРУСТ ), но у них все еще есть устаревшие методы, такие как регулярная смена паролей.

Но они, как и NIST, постепенно совершенствуются.

• Как Связаться С Командой Центра Поддержки Клиентов Google По Телефону

  19 Oct, 24

• Курс Биткоина За Три Дня Вырос Более Чем На $100 И Превысил $700

  19 Oct, 24

• Start Up: Организационные И Технические Аспекты Запуска В Крупной Ит-Компании

  19 Oct, 24

• Продукция Phantom (Vaporware) На Протяжении 11 Лет. Статья Вторая - 2000-2001 Гг.

  19 Oct, 24

• Отношения Классов — От Uml К Коду

  19 Oct, 24

• Ivideon Bridge: Как Выгодно Подключить Устаревшие Системы Видеонаблюдения К Облаку

  19 Oct, 24

• Яндекс.маркет Позволит Совершать Покупки В Зарубежных Интернет-Магазинах

  19 Oct, 24

• Торговые Роботы Инк

  19 Oct, 24

• Американские Горки

  19 Oct, 24

• Самое Простое Руководство По Иконографии

  19 Oct, 24