пароль
#вредныесоветы,  #мысливслух

Зачем нужно менять пароль

09.02.2021 /

Мы уже успели поговорить про такие важные вещи, как тестирование кода, обучение молодых специалистов и разницу между опытом и стажем. Давайте теперь немного расслабимся и поговорим о вещах более приземленных. Сегодня предлагаю обсудить следующий вопрос: каким должен быть надежный пароль и зачем его менять. Разумеется, периодическая его смена должна подразумеваться политикой безопасности компании, поэтому поговорим также и о том, какая частота смены пароля будет оптимальной.

Политика партии – прежде всего

Начнем с того, что сами пользователи пароли менять не любят. Поэтому политика безопасности компании должна заставлять их периодически это делать. О правилах смены пароля и установки нового мы поговорим чуть ниже.

Разумеется, придумывать и реализовывать эти политики должна всякая обслуга вроде инженеров по безопасности и devops. Задачей юзера же будет являться придумывание хорошей комбинации.

Наше главное правило

Пока что запомните простое правило: хороший пароль – это такой, который легко набирается на клавиатуре. Ниже мы обсудим, как заставить юзеров придумывать действительно хорошие и практичные пароли.

Каким должен быть надежный пароль

В общем-то, всю истину можно узреть в этой картинке:

Если вкратце, то комбинация «Tr0ub4dor&3» на первый взгляд выглядит довольно надежной. Но здесь кроется пара минусов:

  1. Его довольно легко забрутфорсить. Перебирая 1000 комбинаций каждую секунду, мы сможем подобрать этот пароль в течение 3 дней.
  2. Сложно запомнить, где вы заменили букву «о» на ноль, где вместо «А» вы написали модную четверку, и так далее.

Самый смак в том, что сложная для человека комбинация будет максимально простой для машины. Но верно и обратное. 

Например, набор слов «верно конь это скоба батареи» проще запомнить. Вы просто представляете, как на земле лежит батарейка со скобой, а конь стоит рядом и указывает на нее. И вы такой: «верно». Такой пароль сильнее, потому что банально содержит больше символов.

Не заблуждайтесь, что символы вроде «!@#$%^&*» хоть чем-то надежнее обычных латинских букв из того же юникода. Важно прежде всего количество.

Грамотная политика смены паролей

Но довольно теории. Мы уже узнали достаточно. Мы узнали, что пароль «Мордовия отстой, Гондурас – Форева!» – довольно надежный и лучше, чем «G0ndUr4$_4eveR». Давайте теперь плавно перейдем к теме поста – зачем вообще нужно менять пароли, и какой должна быть грамотная политика безопасности.

Суть кроется в том, что пароли надежные – это не то, чего мы желаем своим юзерам. Да, мы не хотим надежные пароли. Наша цель кроется в том, чтобы юзеры использовали пароли хорошие. Как мы помним, хороший пароль – это тот, который легко набирается одной рукой, в то время как другая держит кружку со смузи. Главная задача политики безопасности компании – заставить юзеров придумывать именно хорошие пароли. Например, «1234qwer» будет довольно хорош. Вы набираете его левой рукой и без лишних временных затрат попадаете на корпоративный ресурс. Сэкономленное на вводе пароля время можно использовать на написание кода! Тысяча вводов простых паролей поможет релизнуться на неделю раньше!

Как стимулировать пользователей создавать хорошие пароли? Расскажу после рекламы.

Реклама
[МЕСТО СДАЕТСЯ]
Зачем вообще менять пароль

Затем, чтобы превратить надежные пароли в хорошие. Хуже всего, если юзер придумает реально длинный и сложный пароль, на взлом которого потребуется 900 лет, и никогда не будет его менять. Представляете, сколько времени он ежедневно тратит на ввод этой последовательности символов? Наверняка, еще вспоминает его минут 10, а если еще и ошибется при вводе…

Вместо этого он мог бы ввести хороший пароль и скорее попасть в сетку, чтобы наконец приступить к выполнению своих непосредственных обязанностей.

Таких ситуаций следует избегать. Нужно заставлять юзеров менять пароль по крайней мере раз в 30 дней, а лучше даже почаще. Чем чаще заставлять юзеров менять пароль, тем меньше будет их желание придумывать что-то надежное, и их взор падет на нечто более простое и хорошее.

Каким должен быть новый пароль

Разумеется, большинство символов стоит запретить. Спецсиволы, пробелы, кириллица – это все от лукавого. Нормальный, пацанский пароль должен состоять исключительно из латиницы, цифр и восклицательных знаков. 

Длина его должна быть не менее 8 символов и, упаси господи, не более 16. Пароль длиннее 16 символов – это полнейший зашквар! Людей надо по рукам бить за такие сложные пароли.

Причем, не стоит забывать, что новый пароль не должен быть похож на 100 предыдущих. Нет, лучше даже на 1000! Чтобы юзерам еще меньше хотелось придумывать новые надежные пароли.

Результат не заставит себя ждать

В результате пользователи настолько заколебутся каждый раз придумывать надежные пароли, что при каждой новой смене пароля будут в приступе ярости вбивать что-то максимально простое вроде «Qwer!234» или «FuckingPassword!». А это, как мы помним, нам на руку, ведь юзеры быстрее начнут попадать в корпоративную сеть, приступать к работе и заниматься действительно полезными вещами.

Бонус – политика восстановления пароля

Просто пришлите его в чистом виде в мессенджер или на почту.

Заключение

Это были #вредныесоветы. Навеяны они тем, что меня тоже заколебало каждый раз придумывать новый пароль согласно сомнительным правилам.

Больше всего раздражает:

  • Никакой кириллицы. Почему? Какая вам разница что хэшировать и хранить?
  • Никаких пробелов. Аналогичный вопрос.
  • Можно некоторые спецсимволы, но нельзя другие из того же юникода. Как так? У вас там что, проверка стоит на входящие символы, и одни хэшируются хуже других?
  • Частая смена паролей. Ты меняешь его в основной системе, все твои сессии принудительно рвутся.

Я могу понять, зачем менять пароль. Вероятно, это каким-то образом снижает вероятность успешного брутфорса. Но, как я сам успел заметить, чем сильнее раздражение от требования в очередной раз сменить пароль, тем слабее становится новая комбинация.

Решать вам – будет ли ваш новый пароль надежным или хорошим. Но если вы совсем расслабитесь, и ваш хороший (простой) пароль уведут, то виноваты окажетесь именно вы. Так что мораль – смиритесь и старайтесь каждый раз придумывать надежный пароль для защиты своих корпоративных (и личных) аккаунтов 🙂

Понравилось? Подписывайтесь на меня в соцсетях!

 
Twitter
VK

Вам также может понравиться

code review

Как правильно проводить code review

09.08.2021
Программист hackerman

Как заставить программиста работать лучше

06.09.2020
специалист

Как обучать молодых специалистов

25.11.2020
guest
0 Комментариев
Inline Feedbacks
View all comments
Social media & sharing icons powered by UltimatelySocial
0
Нравится? Оставьте комментарий!x
()
x