Вы все еще используете «пароль» для защиты доступа к вашим жизненно важным системам администрирования? Конечно, нет, но, по словам компании SplashData , занимающейся защитой программного обеспечения, она все еще находится на первом месте в таблице тупых паролей. Вот «топ» 25, составленный из списков украденных паролей, размещенных в сети:
- пароль
- 123456
- 12345678
- БУКВ
- абв123
- обезьяна
- 1234567
- Впусти меня
- trustno1
- Дракон
- бейсбол
- 111111
- Я люблю тебя
- мастер
- Солнечный свет
- Ashley
- двор замка
- passw0rd
- тень
- 123123
- 654321
- сверхчеловек
- qazwsx
- Майкл
- футбол
Если ваш пароль в этом списке, возможно, пришло время пересмотреть вашу безопасность.
Но прежде чем мы начнем насмехаться над глупостью пользователя, мы должны быть частично виноваты? Почти каждое веб-приложение, которое мы создаем, требует пароль, и они способствуют возникновению проблемы. Несмотря на рост OAuth и подобных решений, даже нечастым веб-пользователям, вероятно, требуется дюжина паролей для разных сайтов. Не имеет значения, какой совет или образование мы даем: люди всегда будут выбирать легкий вариант и выбирают простой пароль, который они могут запомнить.
Слишком сложные парольные политики
Некоторые системы пытаются решить проблему с неверным паролем, используя определенную длину, требуя хотя бы один номер и заставляя пользователей менять свой пароль каждые несколько дней. Худшие примеры ограничивают количество символов и не допускают необычные символы, такие как знаки препинания. По сути, они передают хакерам «шаблон» пароля… и они редко мешают людям выбирать «password01», «password02» и т. Д.
Образование в области пассивной безопасности
За возможным исключением паролей минимальной длины для финансовых и государственных служб пользователям, как правило, следует разрешать вводить то, что им нравится. Хорошие системы будут шифровать пароли, поэтому нет причин ограничивать длину строки или символы, которые можно вводить.
Красно-янтарно-зеленые индикаторы для слабых паролей, как правило, хороши, хотя и довольно абстрактны, и я видел, что многие пользователи игнорируют это предупреждение. Возможно, более информативная альтернатива может выделить последствия плохого пароля, например
Хакер может получить доступ к вашей учетной записи за 3 секунды.
К сожалению, пароли остаются нашим лучшим вариантом для веб-безопасности. Разве кто-нибудь знает лучшую альтернативу, защищенную от дурака?