Нам всем пришлось создавать пароли с большим количеством символов, чисел, специальных символов и даже заглавных букв. Угадайте что произошло. Человек, который придумал эти стандарты около 15 лет назад, сейчас, в общем, называет их бесполезными. Ему очень жаль.
Этот человек – Билл Бёр, бывший менеджер в Национальном институте стандартов и технологий (НИСТ). В 2003 году Бёр составил руководство к правильному созданию безопасных паролей, состоящее из 8 страниц и под креативным названием «НИСТ публикация 800-63. Приложение А». Это руководство стало документом, который в некоторой степени начал диктовать требования к паролю для всего, начиная от почтового аккаунта до входа на страницы, до вашего банковского онлайн портала. Все эти правила об использования заглавных букв, специальных символов и чисел – все они из-за Билла.
Проблема в том, что Билл Бёр на самом деле не знал многого о том, как работали пароли в 2003 году, когда он писал свое руководство. Определенно, он не был экспертом по безопасности. А сейчас 72 летний бюрократ-пенсионер хочет извиниться.
«Я сожалею о многом совершенном мной», недавно Билл Бёр рассказал The Wall Street Journal, признавая, что его исследование о паролях в большей степени основано на белой книге, написанной в 1980-х, задолго до изобретения сети. В итоге, [список методических указаний], вероятно, был слишком сложным для понимания широкими массами, и на самом деле, они лаяли не на то дерево».
Билл не неправ. Простая математика показывает, что более короткий пароль с чудными символами легче взломать, чем длинную цепочку легко запоминающихся слов. Этот классический комикс XKCD показывает, как 4 простые слова создают кодовую фразу, которую компьютер сможет угадать через 550 лет, в то время как бессмысленная цепочка случайных символов может быть разгадана приблизительно за 3 дня:
Поэтому последние строки руководства НИСТ рекомендуют создавать длинные кодовые фразы вместо слов-абракадабра, которые Билл считал безопасными. (Совет от профессионала: Используйте это руководство для создания супер безопасного кода доступа, используя пару кубиков).
Естественно вам интересно чувствует ли Билл не только сожаление, но и стыд. Но это не полностью его вина. 15 лет назад существовало мало исследований о паролях и информационной безопасности, теперь же исследователи могут привести миллионы и миллионы примеров. Билл был не единственным в своих прискорбных идеях в первые дни сети. Помните всплывающие баннеры — бедствие Интернета в 2000-х? Их изобретатель тоже очень сожалеет. О, и запутанная, ненужная двойная косая черта в веб-адресах? Изобретатель этой идеи (и самой сети) Тим Бернерс-Ли тоже сожалеет.
Технология – это часто метод проб и ошибок. Если вы делаете что-то правильно, например как Джефф Безос или Марк Цукерберг, то получаете сладкое вознаграждение. Если же вы провалились и потратили годы ничего неподозревающих пользователей Интернет в процессе, например как Билл, вам придется извиняться годы спустя. Мы прощаем вас, Билл. По крайней мере, некоторые из нас.
About The Author
Виктор Карабедянц
ИТ директор (CIO), руководитель нескольких DevOps команд. Профессиональный руководитель проектов по внедрению, поддержке ИТ систем и обслуживанию пользователей.