Статьи

Худшие пароли 2011 года

Вы все еще используете «пароль» для защиты доступа к вашим жизненно важным системам администрирования? Конечно, нет, но, по словам компании SplashData , занимающейся защитой программного обеспечения, она все еще находится на первом месте в таблице тупых паролей. Вот «топ» 25, составленный из списков украденных паролей, размещенных в сети:

  1. пароль
  2. 123456
  3. 12345678
  4. БУКВ
  5. абв123
  6. обезьяна
  7. 1234567
  8. Впусти меня
  9. trustno1
  10. Дракон
  11. бейсбол
  12. 111111
  13. Я люблю тебя
  14. мастер
  15. Солнечный свет
  16. Ashley
  17. двор замка
  18. passw0rd
  19. тень
  20. 123123
  21. 654321
  22. сверхчеловек
  23. qazwsx
  24. Майкл
  25. футбол

Если ваш пароль в этом списке, возможно, пришло время пересмотреть вашу безопасность.

Но прежде чем мы начнем насмехаться над глупостью пользователя, мы должны быть частично виноваты? Почти каждое веб-приложение, которое мы создаем, требует пароль, и они способствуют возникновению проблемы. Несмотря на рост OAuth и подобных решений, даже нечастым веб-пользователям, вероятно, требуется дюжина паролей для разных сайтов. Не имеет значения, какой совет или образование мы даем: люди всегда будут выбирать легкий вариант и выбирают простой пароль, который они могут запомнить.

Слишком сложные парольные политики

Некоторые системы пытаются решить проблему с неверным паролем, используя определенную длину, требуя хотя бы один номер и заставляя пользователей менять свой пароль каждые несколько дней. Худшие примеры ограничивают количество символов и не допускают необычные символы, такие как знаки препинания. По сути, они передают хакерам «шаблон» пароля… и они редко мешают людям выбирать «password01», «password02» и т. Д.

Образование в области пассивной безопасности

За возможным исключением паролей минимальной длины для финансовых и государственных служб пользователям, как правило, следует разрешать вводить то, что им нравится. Хорошие системы будут шифровать пароли, поэтому нет причин ограничивать длину строки или символы, которые можно вводить.

Красно-янтарно-зеленые индикаторы для слабых паролей, как правило, хороши, хотя и довольно абстрактны, и я видел, что многие пользователи игнорируют это предупреждение. Возможно, более информативная альтернатива может выделить последствия плохого пароля, например

Хакер может получить доступ к вашей учетной записи за 3 секунды.

К сожалению, пароли остаются нашим лучшим вариантом для веб-безопасности. Разве кто-нибудь знает лучшую альтернативу, защищенную от дурака?