Пароль

Текст, используемый для аутентификации пользователя с целью подтверждения личности

Поле пароля в форме входа

Пароль , иногда называемый кодом доступа , представляет собой секретные данные, как правило, строку символов, обычно используемую для подтверждения личности пользователя. Традиционно пароли должны были запоминаться , [ 1 ^] но большое количество защищенных паролем сервисов, к которым обычно обращается обычный человек, может сделать запоминание уникальных паролей для каждого сервиса непрактичным. ^[2] Используя терминологию Руководства по цифровой идентификации NIST, ^[3] секрет хранится у стороны, называемой заявителем, в то время как сторона, проверяющая личность заявителя, называется верификатором . Когда заявитель успешно демонстрирует верификатору знание пароля через установленный протокол аутентификации , ^[4] верификатор может вывести личность заявителя.

В общем случае пароль представляет собой произвольную строку символов , включающую буквы, цифры или другие символы. Если допустимые символы ограничены числами, соответствующий секрет иногда называют персональным идентификационным номером (ПИН-код).

Несмотря на свое название, пароль не обязательно должен быть реальным словом; на самом деле, не-слово (в словарном смысле) может быть сложнее угадать, что является желательным свойством паролей. Запомненный секрет, состоящий из последовательности слов или другого текста, разделенного пробелами, иногда называется парольной фразой . Парольная фраза похожа на пароль в использовании, но первый обычно длиннее для дополнительной безопасности. ^[5]

История

Пароли использовались с древних времен. Часовые бросали вызов тем, кто хотел войти в зону, чтобы предоставить пароль или пароль , и позволяли пройти только человеку или группе, если они знали пароль. Полибий описывает систему распределения паролей в римской армии следующим образом:

Способ, которым они обеспечивают передачу пароля на ночь, заключается в следующем: из десятого манипулы каждого класса пехоты и кавалерии, манипулы, которая стоит лагерем в нижнем конце улицы, выбирается человек, который освобождается от караульной службы, и он приходит каждый день на закате солнца в палатку трибуна и , получив от него пароль — то есть деревянную дощечку с написанным на ней словом — прощается и, вернувшись в свои покои, передает пароль и дощечку перед свидетелями командиру следующего манипулы, который в свою очередь передает его следующему за ним. Все делают то же самое, пока он не достигнет первых манипул, тех, что стоят лагерем около палаток трибунов. Последние обязаны доставить табличку трибунам до наступления темноты. Так что если все выданные будут возвращены, трибун будет знать, что пароль был передан всем манипулам и прошел через все на своем пути к нему. Если кто-либо из них отсутствует, он немедленно производит расследование, так как по отметкам он знает, с какой стороны не вернулась табличка, и тот, кто ответственен за остановку, получает заслуженное наказание. ^[6]

Пароли в военном использовании эволюционировали, чтобы включать не только пароль, но и пароль и контрпароль; например, в первые дни битвы за Нормандию десантники 101-й воздушно-десантной дивизии США использовали пароль — flash — который был представлен как вызов, и отвечали правильным ответом — thunder . Вызов и ответ менялись каждые три дня. Американские десантники также, как известно, использовали устройство, известное как «сверчок», в День Д вместо системы паролей в качестве временного уникального метода идентификации; один металлический щелчок, издаваемый устройством вместо пароля, должен был быть встречен двумя щелчками в ответ. ^[7]

Пароли использовались в компьютерах с самых первых дней вычислений. Compatible Time-Sharing System (CTSS), операционная система, представленная в Массачусетском технологическом институте в 1961 году, была первой компьютерной системой, реализовавшей вход с паролем. ^{[8] [9]} CTSS имела команду LOGIN, которая запрашивала пароль пользователя. «После ввода PASSWORD система отключает механизм печати, если это возможно, чтобы пользователь мог ввести свой пароль конфиденциально». ^[10] В начале 1970-х годов Роберт Моррис разработал систему хранения паролей входа в хешированном виде как часть операционной системы Unix . Система была основана на имитированной роторной криптомашине Хагелина и впервые появилась в 6-м издании Unix в 1974 году. Более поздняя версия его алгоритма, известная как crypt(3) , использовала 12-битную соль и вызывала модифицированную форму алгоритма DES 25 раз, чтобы снизить риск предварительно вычисленных атак по словарю . ^[11]

В наше время имена пользователей и пароли обычно используются людьми во время процесса входа в систему , который контролирует доступ к защищенным компьютерным операционным системам , мобильным телефонам , декодерам кабельного телевидения , банкоматам (АТМ) и т. д. У типичного пользователя компьютера есть пароли для многих целей: входа в учетные записи, получения электронной почты , доступа к приложениям, базам данных, сетям, веб-сайтам и даже чтения утренней газеты в Интернете.

Выбор надежного и запоминающегося пароля

Чем проще пароль для запоминания владельцем, тем проще его будет угадать злоумышленнику . ^[12] Однако пароли, которые трудно запомнить, также могут снизить безопасность системы, поскольку (a) пользователям может потребоваться записать или сохранить пароль в электронном виде, (b) пользователям потребуется частая смена пароля и (c) пользователи с большей вероятностью будут повторно использовать один и тот же пароль в разных учетных записях. Аналогично, чем строже требования к паролю, такие как «сочетание заглавных и строчных букв и цифр» или «менять его ежемесячно», тем выше вероятность, что пользователи будут подрывать систему. ^[13] Другие утверждают, что более длинные пароли обеспечивают большую безопасность (например, энтропию ), чем более короткие пароли с большим количеством символов. ^[14]

В своей книге «Запоминаемость и безопасность паролей » ^[15] Джефф Ян и др. изучают влияние советов, данных пользователям о хорошем выборе пароля. Они обнаружили, что пароли, основанные на размышлении о фразе и взятии первой буквы каждого слова, так же запоминаемы, как и наивно выбранные пароли, и так же сложны для взлома, как и случайно сгенерированные пароли.

Объединение двух или более несвязанных слов и изменение некоторых букв на специальные символы или цифры — еще один хороший метод, ^[16] но одно словарное слово — нет. Наличие лично разработанного алгоритма для генерации непонятных паролей — еще один хороший метод. ^[17]

Однако, просьба к пользователям запомнить пароль, состоящий из «смесь заглавных и строчных букв», похожа на просьбу к пользователям запомнить последовательность битов: трудно запомнить, и лишь немного сложнее взломать (например, всего в 128 раз сложнее взломать 7-буквенные пароли, и еще меньше, если пользователь просто использует заглавную букву). Просьба к пользователям использовать «и буквы, и цифры» часто приводит к легко угадываемым заменам, таким как «E» → «3» и «I» → «1», заменам, которые хорошо известны злоумышленникам. Аналогично, ввод пароля на один ряд клавиатуры выше является распространенным трюком, известным злоумышленникам. ^[18]

В 2013 году Google опубликовал список наиболее распространенных типов паролей, все из которых считаются небезопасными, поскольку их слишком легко угадать (особенно после поиска информации о человеке в социальных сетях), в который вошли: ^[19]

• Имя домашнего животного, ребенка, члена семьи или другого значимого человека
• Юбилеи и дни рождения
• Место рождения
• Название любимого праздника
• Что-то связанное с любимой спортивной командой
• Слово «пароль»

Альтернативы запоминанию

Традиционный совет запоминать пароли и никогда их не записывать стал проблемой из-за огромного количества паролей, которые пользователи компьютеров и Интернета, как ожидается, будут хранить. В одном исследовании сделан вывод, что у среднестатистического пользователя около 100 паролей. ^[2] Чтобы управлять распространением паролей, некоторые пользователи используют один и тот же пароль для нескольких учетных записей, что является опасной практикой, поскольку утечка данных в одной учетной записи может поставить под угрозу остальные. Менее рискованные альтернативы включают использование менеджеров паролей , систем единого входа и простое ведение бумажных списков менее важных паролей. ^[20] Такая практика может сократить количество паролей, которые необходимо запомнить, например, главный пароль менеджера паролей, до более управляемого числа.

Факторы безопасности системы паролей

Безопасность системы, защищенной паролем, зависит от нескольких факторов. Вся система должна быть разработана для надежной безопасности, с защитой от компьютерных вирусов , атак типа «человек посередине» и т. п. Физические проблемы безопасности также вызывают беспокойство, от сдерживания серфинга через плечо до более сложных физических угроз, таких как видеокамеры и снифферы клавиатуры. Пароли следует выбирать так, чтобы злоумышленнику было трудно их угадать и чтобы злоумышленнику было трудно их обнаружить с помощью любой из доступных автоматических схем атак. Для получения дополнительной информации см. Надежность пароля и компьютерная безопасность . ^[21]

В настоящее время компьютерные системы часто скрывают пароли по мере их ввода. Цель этой меры — не допустить, чтобы посторонние могли прочитать пароль; однако некоторые утверждают, что эта практика может привести к ошибкам и стрессу, побуждая пользователей выбирать слабые пароли. В качестве альтернативы пользователи должны иметь возможность показывать или скрывать пароли по мере их ввода. ^[21]

Эффективные положения о контроле доступа могут вынудить преступников, пытающихся получить пароль или биометрический токен, принять крайние меры. ^[22] Менее крайние меры включают вымогательство , криптоанализ с использованием резинового шланга и атаку по сторонним каналам .

Ниже приведены некоторые конкретные вопросы управления паролями, которые необходимо учитывать при выборе и использовании пароля.

Скорость, с которой злоумышленник может попытаться угадать пароли

Скорость, с которой злоумышленник может отправлять угаданным паролям в систему, является ключевым фактором в определении безопасности системы. Некоторые системы устанавливают тайм-аут в несколько секунд после небольшого количества (например, трех) неудачных попыток ввода пароля, также известный как регулирование. ^{[3] : 63B Sec 5.2.2} При отсутствии других уязвимостей такие системы могут быть эффективно защищены относительно простыми паролями, если они были хорошо выбраны и их нелегко угадать. ^[23]

Многие системы хранят криптографический хэш пароля. Если злоумышленник получает доступ к файлу хэшированных паролей, угадывание может быть выполнено в автономном режиме, быстро проверяя пароли-кандидаты на соответствие хэш-значению истинного пароля. В примере с веб-сервером злоумышленник в сети может угадывать только со скоростью, с которой сервер будет отвечать, в то время как злоумышленник в автономном режиме (получивший доступ к файлу) может угадывать со скоростью, ограниченной только оборудованием, на котором выполняется атака, и силой алгоритма, используемого для создания хэша.

Пароли, которые используются для генерации криптографических ключей (например, для шифрования диска или безопасности Wi-Fi ), также могут подвергаться быстрому угадыванию. Списки распространенных паролей широко доступны и могут сделать атаки на пароли очень эффективными. (См. Взлом паролей .) Безопасность в таких ситуациях зависит от использования паролей или парольных фраз адекватной сложности, что делает такую ​​атаку вычислительно неосуществимой для злоумышленника. Некоторые системы, такие как PGP и Wi-Fi WPA , применяют к паролю хэш с интенсивными вычислениями, чтобы замедлить такие атаки. См. растяжение ключа .

Ограничения на количество попыток подбора пароля

Альтернативой ограничению скорости, с которой злоумышленник может угадывать пароль, является ограничение общего числа возможных попыток. Пароль может быть отключен, требуя сброса после небольшого количества последовательных неудачных попыток (скажем, 5); и пользователю может потребоваться сменить пароль после большего совокупного количества неудачных попыток (скажем, 30), чтобы не допустить, чтобы злоумышленник сделал произвольно большое количество неудачных попыток, перемежая их между удачными попытками законного владельца пароля. ^[24] Злоумышленники могут, наоборот, использовать знание этого смягчения для реализации атаки типа «отказ в обслуживании» против пользователя, намеренно заблокировав его доступ к собственному устройству; этот отказ в обслуживании может открыть злоумышленнику другие возможности манипулировать ситуацией в своих интересах с помощью социальной инженерии .

Форма сохраненных паролей

Некоторые компьютерные системы хранят пароли пользователей в виде открытого текста , с которым можно сравнивать попытки входа пользователей. Если злоумышленник получит доступ к такому внутреннему хранилищу паролей, все пароли, а значит, и все учетные записи пользователей, будут скомпрометированы. Если некоторые пользователи используют один и тот же пароль для учетных записей в разных системах, они также будут скомпрометированы.

Более безопасные системы хранят каждый пароль в криптографически защищенной форме, поэтому доступ к фактическому паролю все еще будет затруднен для шпиона, который получает внутренний доступ к системе, в то время как проверка попыток доступа пользователя остается возможной. Самые безопасные вообще не хранят пароли, а хранят односторонний вывод, такой как полином , модуль или расширенная хэш-функция . ^[14] Роджер Нидхэм изобрел ныне распространенный подход хранения только «хэшированной» формы открытого текстового пароля. ^{[25] [26]} Когда пользователь вводит пароль в такой системе, программное обеспечение для обработки паролей проходит через криптографический хэш-алгоритм, и если хэш-значение, сгенерированное из ввода пользователя, совпадает с хешем, сохраненным в базе данных паролей, пользователю разрешается доступ. Хэш-значение создается путем применения криптографической хэш-функции к строке, состоящей из отправленного пароля и, во многих реализациях, другого значения, известного как соль . Соль не позволяет злоумышленникам легко составить список хэш-значений для распространенных паролей и предотвращает масштабирование попыток взлома паролей среди всех пользователей. ^[27] MD5 и SHA1 — часто используемые криптографические хэш-функции, но они не рекомендуются для хэширования паролей, если только они не используются как часть более крупной конструкции, например, в PBKDF2 . ^[28]

Сохраненные данные, иногда называемые «верификатором пароля» или «хэшем пароля», часто хранятся в формате Modular Crypt Format или формате хэша RFC 2307, иногда в файле /etc/passwd или файле /etc/shadow . ^[29]

Основными методами хранения паролей являются простой текст, хешированный, хешированный и соленый, а также обратимо зашифрованный. ^[30] Если злоумышленник получает доступ к файлу паролей, то, если он хранится как простой текст, взлом не требуется. Если он хеширован, но не соленый, то он уязвим для атак с помощью радужных таблиц (которые более эффективны, чем взлом). Если он обратимо зашифрован, то, если злоумышленник получает ключ дешифрования вместе с файлом, взлом не требуется, в то время как если ему не удается получить ключ, взлом невозможен. Таким образом, из распространенных форматов хранения паролей взлом необходим и возможен только тогда, когда пароли соленые и хешированные. ^[30]

Если криптографическая хэш-функция хорошо спроектирована, то вычислительно невозможно обратить функцию, чтобы восстановить открытый текстовый пароль. Однако злоумышленник может использовать широко доступные инструменты, чтобы попытаться угадать пароли. Эти инструменты работают, хэшируя возможные пароли и сравнивая результат каждой догадки с фактическими хэшами паролей. Если злоумышленник находит совпадение, он знает, что его догадка является фактическим паролем для соответствующего пользователя. Инструменты взлома паролей могут работать методом грубой силы (т. е. пробуя все возможные комбинации символов) или хэшируя каждое слово из списка; большие списки возможных паролей на многих языках широко доступны в Интернете. ^[14] Существование инструментов взлома паролей позволяет злоумышленникам легко восстанавливать плохо выбранные пароли. В частности, злоумышленники могут быстро восстанавливать пароли, которые являются короткими, словесными словами, простыми вариациями словарных слов или которые используют легко угадываемые шаблоны. ^[31] Модифицированная версия алгоритма DES использовалась в качестве основы для алгоритма хэширования паролей в ранних системах Unix . ^[32] Алгоритм шифрования использовал 12-битное значение соли, чтобы хэш каждого пользователя был уникальным, и итерировал алгоритм DES 25 раз, чтобы замедлить хэш-функцию, обе меры были направлены на то, чтобы помешать автоматизированным атакам угадывания. ^[32] Пароль пользователя использовался в качестве ключа для шифрования фиксированного значения. Более поздние системы Unix или Unix-подобные системы (например, Linux или различные системы BSD ) используют более безопасные алгоритмы хэширования паролей, такие как PBKDF2 , bcrypt и scrypt , которые имеют большие соли и регулируемую стоимость или количество итераций. ^[33] Плохо спроектированная хэш-функция может сделать атаки осуществимыми, даже если выбран надежный пароль. См. LM hash для широко распространенного и небезопасного примера. ^[34]

Методы проверки пароля по сети

Простая передача пароля

Пароли уязвимы для перехвата (т. е. «шпионажа») при передаче на аутентифицирующую машину или человека. Если пароль передается в виде электрических сигналов по незащищенной физической проводке между точкой доступа пользователя и центральной системой, управляющей базой данных паролей, он может быть перехвачен с помощью методов прослушивания . Если он передается в виде пакетных данных через Интернет, любой, кто может просматривать пакеты, содержащие информацию о входе в систему, может шпионить с очень низкой вероятностью обнаружения.

Электронная почта иногда используется для распространения паролей, но это, как правило, небезопасный метод. Поскольку большинство электронных писем отправляется в виде открытого текста , сообщение, содержащее пароль, может быть прочитано без усилий во время передачи любым перехватчиком. Кроме того, сообщение будет храниться в виде открытого текста по крайней мере на двух компьютерах: отправителя и получателя. Если оно проходит через промежуточные системы во время своего путешествия, оно, вероятно, будет храниться там также, по крайней мере, в течение некоторого времени, и может быть скопировано в файлы резервных копий , кэша или истории на любой из этих систем.

Использование шифрования на стороне клиента защитит только передачу от сервера системы обработки почты к клиентской машине. Предыдущие или последующие ретрансляции электронной почты не будут защищены, и электронная почта, вероятно, будет храниться на нескольких компьютерах, определенно на исходном и принимающем компьютерах, чаще всего в виде открытого текста.

Передача по зашифрованным каналам

Риск перехвата паролей, отправляемых через Интернет, можно снизить, среди прочего, с помощью криптографической защиты. Наиболее широко используемой является функция Transport Layer Security (TLS, ранее называвшаяся SSL ), встроенная в большинство современных интернет -браузеров . Большинство браузеров предупреждают пользователя об обмене данными с сервером, защищенном TLS/SSL, отображая значок закрытого замка или какой-либо другой знак, когда используется TLS. Существует несколько других используемых методов; см. криптография .

Методы вызова-ответа на основе хэша

Существует конфликт между хранимыми хэшированными паролями и аутентификацией вызов-ответ на основе хеша ; последний требует, чтобы клиент доказал серверу, что он знает, что такое общий секрет (т. е. пароль), и для этого сервер должен иметь возможность получить общий секрет из его сохраненной формы. Во многих системах (включая системы типа Unix ), выполняющих удаленную аутентификацию, общий секрет обычно становится хэшированной формой и имеет серьезное ограничение, подвергая пароли атакам офлайн-угадывания. Кроме того, когда хэш используется в качестве общего секрета, злоумышленнику не нужен исходный пароль для удаленной аутентификации; ему нужен только хэш.

Подтверждение паролей с нулевым разглашением

Вместо передачи пароля или передачи хэша пароля системы согласования ключей с аутентификацией по паролю могут выполнять проверку пароля с нулевым разглашением , которая подтверждает знание пароля без его раскрытия.

Двигаясь на шаг дальше, дополненные системы для соглашения о ключах с аутентификацией паролем (например, AMP, B-SPEKE , PAK-Z, SRP-6 ) избегают как конфликта, так и ограничения методов на основе хэша. Дополненная система позволяет клиенту доказать знание пароля серверу, где сервер знает только (не точно) хэшированный пароль, и где для получения доступа требуется нехэшированный пароль.

Процедуры смены паролей

Обычно система должна предоставлять возможность изменить пароль, либо потому, что пользователь считает, что текущий пароль был (или мог быть) скомпрометирован, либо в качестве меры предосторожности. Если новый пароль передается в систему в незашифрованном виде, безопасность может быть потеряна (например, путем прослушивания телефонных разговоров ) еще до того, как новый пароль будет установлен в базе данных паролей , а если новый пароль передается скомпрометированному сотруднику, то это мало что дает. Некоторые веб-сайты включают выбранный пользователем пароль в незашифрованное сообщение электронной почты с подтверждением, что, очевидно, повышает уязвимость.

Системы управления идентификацией все чаще используются для автоматизации выдачи замен утерянных паролей, эта функция называется самостоятельным сбросом пароля . Личность пользователя проверяется путем задания вопросов и сравнения ответов с ранее сохраненными (т. е. при открытии учетной записи).

Некоторые вопросы по сбросу пароля запрашивают личную информацию, которую можно найти в социальных сетях, например, девичью фамилию матери. В результате некоторые эксперты по безопасности рекомендуют либо придумывать собственные вопросы, либо давать ложные ответы. ^[35]

Срок действия пароля

«Старение пароля» — это функция некоторых операционных систем, которая заставляет пользователей часто менять пароли (например, ежеквартально, ежемесячно или даже чаще). Такая политика обычно вызывает протест пользователей и промедление в лучшем случае и враждебность в худшем. Часто увеличивается число людей, которые записывают пароль и оставляют его там, где его можно легко найти, а также звонков в службу поддержки, чтобы сбросить забытый пароль. Пользователи могут использовать более простые пароли или разрабатывать шаблоны вариаций на одну и ту же тему, чтобы сохранить свои пароли в памяти. ^[36] Из-за этих проблем ведутся споры о том, эффективно ли устаревание пароля. ^[37] Изменение пароля не предотвратит злоупотребление в большинстве случаев, поскольку злоупотребление часто будет сразу заметно. Однако, если кто-то мог получить доступ к паролю каким-либо образом, например, используя общий компьютер или взломав другой сайт, изменение пароля ограничивает окно для злоупотребления. ^[38]

Количество пользователей на пароль

Назначение отдельных паролей каждому пользователю системы предпочтительнее, чем наличие одного пароля, общего для законных пользователей системы, конечно, с точки зрения безопасности. Это отчасти объясняется тем, что пользователи более охотно сообщают другому человеку (который может быть не авторизован) общий пароль, чем тот, который предназначен исключительно для их использования. Единые пароли также гораздо менее удобны для изменения, поскольку их нужно сообщать многим людям одновременно, и они затрудняют удаление доступа конкретного пользователя, например, при выпуске или увольнении. Отдельные логины также часто используются для подотчетности, например, чтобы знать, кто изменил часть данных.

Архитектура безопасности паролей

К распространенным методам повышения безопасности компьютерных систем, защищенных паролем, относятся:

• Не отображать пароль на экране дисплея по мере его ввода или скрывать его по мере ввода с помощью звездочек (*) или маркеров (•).
• Разрешение использовать пароли достаточной длины. (Некоторые устаревшие операционные системы, включая ранние версии ^{[ какие? ]} Unix и Windows, ограничивали длину паролей максимум 8 символами, ^{[39] [40] [41]} снижая безопасность.)
• Требование от пользователей повторного ввода пароля после определенного периода бездействия (политика полувыхода из системы).
• Внедрение политики паролей для повышения надежности и безопасности паролей .
  • Назначение случайно выбранных паролей.
  • Требование минимальной длины пароля . ^[28]
  • Некоторые системы требуют использования символов из различных классов символов в пароле, например, «должно быть по крайней мере одна заглавная и по крайней мере одна строчная буква». Однако пароли, состоящие только из строчных букв, более безопасны на нажатие клавиши, чем пароли со смешанным использованием заглавных букв. ^[42]
  • Используйте черный список паролей, чтобы заблокировать использование слабых и легко угадываемых паролей.
  • Предоставление альтернативы вводу данных с клавиатуры (например, голосовые пароли или биометрические идентификаторы).
  • Требование более чем одной системы аутентификации, например, двухфакторной аутентификации (что-то, что есть у пользователя, и что-то, что пользователь знает).
• Использование зашифрованных туннелей или соглашения о ключах с аутентификацией по паролю для предотвращения доступа к передаваемым паролям посредством сетевых атак
• Ограничение количества допустимых неудач в течение заданного периода времени (для предотвращения повторного подбора пароля). После достижения лимита дальнейшие попытки будут неудачными (включая попытки ввода правильного пароля) до начала следующего периода времени. Однако это уязвимо для формы атаки типа «отказ в обслуживании» .
• Введение задержки между попытками отправки пароля для замедления работы программ автоматического подбора паролей.

Некоторые из наиболее строгих мер по обеспечению соблюдения политики могут создать риск отчуждения пользователей, что может привести к снижению безопасности.

Повторное использование пароля

Среди пользователей компьютеров распространена практика повторного использования одного и того же пароля на нескольких сайтах. Это представляет существенный риск безопасности, поскольку злоумышленнику достаточно скомпрометировать только один сайт, чтобы получить доступ к другим сайтам, которые использует жертва. Эта проблема усугубляется также повторным использованием имен пользователей и веб-сайтами, требующими входа по электронной почте, поскольку это облегчает злоумышленнику отслеживание одного пользователя на нескольких сайтах. Повторное использование паролей можно избежать или свести к минимуму, используя мнемонические методы , записывая пароли на бумаге или используя менеджер паролей . ^[43]

Исследователи из Редмонда Динеи Флоренсио и Кормак Херли, а также Пол С. ван Ооршот из Карлтонского университета в Канаде утверждают , что повторное использование паролей неизбежно, и что пользователи должны повторно использовать пароли для веб-сайтов с низким уровнем безопасности (например, содержащих мало персональных данных и никакой финансовой информации) и вместо этого сосредоточить свои усилия на запоминании длинных сложных паролей для нескольких важных учетных записей, таких как банковские счета. ^[44] Аналогичные аргументы были высказаны Forbes в отношении того, чтобы не менять пароли так часто, как советуют многие «эксперты», из-за тех же ограничений человеческой памяти. ^[36]

Записывайте пароли на бумаге

Исторически многие эксперты по безопасности просили людей запоминать свои пароли: «Никогда не записывайте пароли». Совсем недавно многие эксперты по безопасности, такие как Брюс Шнайер, рекомендовали людям использовать слишком сложные для запоминания пароли, записывать их на бумаге и хранить в кошельке. ^{[45] [46] [47] [48] [49] [50] [51]}

Программное обеспечение для управления паролями также может относительно безопасно хранить пароли в зашифрованном файле, защищенном одним главным паролем.

После смерти

Для облегчения управления имуществом людям полезно предоставить механизм для передачи своих паролей лицам, которые будут управлять их делами в случае их смерти. Если будет подготовлена ​​запись счетов и паролей, необходимо позаботиться о том, чтобы записи были защищены, чтобы предотвратить кражу или мошенничество. ^[52]

Многофакторная аутентификация

Многофакторные схемы аутентификации объединяют пароли (как «факторы знания») с одним или несколькими другими средствами аутентификации, чтобы сделать аутентификацию более безопасной и менее уязвимой для взломанных паролей. Например, простой двухфакторный вход может отправлять текстовое сообщение, электронное письмо, автоматический телефонный звонок или подобное оповещение всякий раз, когда предпринимается попытка входа, возможно, предоставляя код, который необходимо ввести в дополнение к паролю. ^[53] Более сложные факторы включают такие вещи, как аппаратные токены и биометрическая безопасность.

Ротация паролей

Ротация паролей — это политика, которая обычно применяется с целью повышения безопасности компьютера . В 2019 году Microsoft заявила, что эта практика «старая и устаревшая». ^{[54] [55]}

Правила паролей

Большинство организаций определяют политику паролей , которая устанавливает требования к составу и использованию паролей, как правило, диктуя минимальную длину, требуемые категории (например, верхний и нижний регистр, цифры и специальные символы), запрещенные элементы (например, использование собственного имени, даты рождения, адреса, номера телефона). Некоторые правительства имеют национальные структуры аутентификации ^[56] , которые определяют требования к аутентификации пользователей для государственных служб, включая требования к паролям.

Многие веб-сайты применяют стандартные правила, такие как минимальная и максимальная длина, но также часто включают правила композиции, такие как наличие по крайней мере одной заглавной буквы и по крайней мере одной цифры/символа. Эти последние, более конкретные правила были в значительной степени основаны на отчете Национального института стандартов и технологий (NIST) 2003 года, автором которого является Билл Берр. ^[57] Первоначально он предлагал практику использования цифр, неясных символов и заглавных букв и регулярного обновления. В статье 2017 года в The Wall Street Journal Берр сообщил, что сожалеет об этих предложениях и совершил ошибку, когда рекомендовал их. ^[58]

Согласно переписанному в 2017 году отчету NIST, на многих веб-сайтах есть правила, которые на самом деле оказывают противоположное влияние на безопасность их пользователей. Это включает в себя сложные правила композиции, а также принудительную смену паролей через определенные периоды времени. Хотя эти правила давно уже широко распространены, они также долгое время считались раздражающими и неэффективными как пользователями, так и экспертами по кибербезопасности. ^[59] NIST рекомендует людям использовать более длинные фразы в качестве паролей (и советует веб-сайтам увеличить максимальную длину пароля) вместо труднозапоминающихся паролей с «иллюзорной сложностью», таких как «pA55w+rd». ^[60] Пользователь, которому запрещено использовать пароль «password», может просто выбрать «Password1», если требуется включить цифру и заглавную букву. В сочетании с принудительной периодической сменой паролей это может привести к паролям, которые трудно запомнить, но легко взломать. ^[57]

Пол Грасси, один из авторов отчета NIST за 2017 год, пояснил: «Все знают, что восклицательный знак — это 1, или I, или последний символ пароля. $ — это S или 5. Если мы используем эти известные трюки, мы не обманываем ни одного злоумышленника. Мы просто обманываем базу данных, в которой хранятся пароли, заставляя ее думать, что пользователь сделал что-то хорошее». ^[59]

Pieris Tsokkis и Eliana Stavrou смогли определить некоторые плохие стратегии создания паролей с помощью своих исследований и разработки инструмента-генератора паролей. Они выделили восемь категорий стратегий создания паролей на основе открытых списков паролей, инструментов взлома паролей и онлайн-отчетов, ссылающихся на наиболее используемые пароли. Эти категории включают информацию, связанную с пользователем, комбинации и шаблоны клавиатуры, стратегию размещения, обработку текста, замену, использование заглавных букв, добавление дат и комбинацию предыдущих категорий ^[61]

Взлом пароля

Попытка взломать пароли, перебирая столько возможностей, сколько позволяют время и деньги, — это атака методом грубой силы . Схожий метод, в большинстве случаев более эффективный, — это атака по словарю . При атаке по словарю проверяются все слова в одном или нескольких словарях. Списки распространенных паролей также обычно проверяются.

Надежность пароля — это вероятность того, что пароль не может быть угадан или обнаружен, и она зависит от используемого алгоритма атаки. Криптологи и специалисты по информатике часто ссылаются на надежность или «жесткость» в терминах энтропии . ^[14]

Пароли, которые легко обнаружить, называются слабыми или уязвимыми ; пароли, которые очень трудно или невозможно обнаружить, считаются сильными . Существует несколько программ, доступных для атаки на пароль (или даже для аудита и восстановления персоналом системы), таких как L0phtCrack , John the Ripper и Cain ; некоторые из них используют уязвимости конструкции пароля (как в системе Microsoft LANManager) для повышения эффективности. Эти программы иногда используются системными администраторами для обнаружения слабых паролей, предлагаемых пользователями.

Исследования производственных компьютерных систем последовательно показывают, что большая часть всех паролей, выбранных пользователями, легко угадывается автоматически. Например, Колумбийский университет обнаружил, что 22% паролей пользователей можно восстановить без особых усилий. ^[62] По словам Брюса Шнайера , изучавшего данные фишинговой атаки 2006 года, 55% паролей MySpace можно было бы взломать за 8 часов с помощью коммерчески доступного набора инструментов для восстановления паролей, способного тестировать 200 000 паролей в секунду в 2006 году. ^[63] Он также сообщил, что единственным наиболее распространенным паролем был password1 , что еще раз подтверждает общее отсутствие осознанной осторожности при выборе паролей среди пользователей. (Тем не менее, он утверждал, основываясь на этих данных, что общее качество паролей улучшилось за эти годы — например, средняя длина составляла до восьми символов по сравнению с семью в предыдущих исследованиях, и менее 4% были словарными словами. ^[64] )

Инциденты

• 16 июля 1998 года CERT сообщил об инциденте, когда злоумышленник обнаружил 186 126 зашифрованных паролей. На момент обнаружения злоумышленника было взломано уже 47 642 пароля. ^[65]
• В сентябре 2001 года, после гибели 658 из 960 своих сотрудников в Нью-Йорке в результате атак 11 сентября , финансовая фирма Cantor Fitzgerald через Microsoft взломала пароли умерших сотрудников, чтобы получить доступ к файлам, необходимым для обслуживания клиентских счетов. ^[66] Технические специалисты использовали атаки методом подбора, а интервьюеры связывались с семьями, чтобы собрать персонализированную информацию, которая могла бы сократить время поиска более слабых паролей. ^[66]
• В декабре 2009 года произошла крупная утечка паролей веб-сайта Rockyou.com , которая привела к утечке 32 миллионов паролей. Затем хакер слил полный список из 32 миллионов паролей (без какой-либо другой идентифицируемой информации) в Интернет. Пароли хранились в открытом тексте в базе данных и были извлечены с помощью уязвимости SQL-инъекции. Центр защиты приложений Imperva (ADC) провел анализ надежности паролей. ^[67]
• В июне 2011 года НАТО (Организация Североатлантического договора) столкнулась с нарушением безопасности, которое привело к публичному раскрытию имен и фамилий, имен пользователей и паролей более 11 000 зарегистрированных пользователей их электронного книжного магазина. Данные были украдены в рамках операции AntiSec , движения, в которое входят Anonymous , LulzSec , а также другие хакерские группы и отдельные лица. Цель AntiSec — раскрыть личную, конфиденциальную и ограниченную информацию миру, используя любые необходимые средства. ^[68]
• 11 июля 2011 года серверы Booz Allen Hamilton , консалтинговой фирмы, которая работает на Пентагон , были взломаны Anonymous , и в тот же день произошла утечка. «Утечка, получившая название «Military Meltdown Monday», включает в себя 90 000 учетных записей военнослужащих, включая персонал из USCENTCOM , SOCOM , Корпуса морской пехоты , различных объектов ВВС , Министерства внутренней безопасности , сотрудников Госдепартамента и, судя по всему, подрядчиков частного сектора». ^[69] Эти просочившиеся пароли были хэшированы в SHA1, а затем расшифрованы и проанализированы командой ADC в Imperva , что показало, что даже военнослужащие ищут короткие пути и способы обойти требования к паролям. ^[70]
• 5 июня 2012 года нарушение безопасности LinkedIn привело к краже 117 миллионов паролей и адресов электронной почты. Миллионы паролей были позже опубликованы на российском форуме. Хакер по имени «Peace» позже предложил дополнительные пароли для продажи. LinkedIn провела обязательный сброс всех скомпрометированных аккаунтов. ^[71]

Альтернативы паролям для аутентификации

Многочисленные способы, которыми постоянные или полупостоянные пароли могут быть скомпрометированы, побудили к разработке других методов. Некоторые из них неадекватны на практике, и в любом случае немногие стали общедоступными для пользователей, ищущих более безопасную альтернативу. ^[72] В статье 2012 года ^[73] рассматривается, почему пароли оказалось так трудно вытеснить (несмотря на многочисленные предсказания, что они скоро уйдут в прошлое ^[74] ); при изучении тридцати репрезентативных предлагаемых замен с точки зрения безопасности, удобства использования и развертывания они приходят к выводу, что «ни одна из них даже не сохраняет полный набор преимуществ, которые уже предоставляют устаревшие пароли».

• Одноразовые пароли . Наличие паролей, действительных только один раз, делает многие потенциальные атаки неэффективными. Большинство пользователей считают одноразовые пароли крайне неудобными. Однако они широко используются в персональном онлайн-банкинге , где они известны как номера аутентификации транзакций (TAN). Поскольку большинство домашних пользователей выполняют лишь небольшое количество транзакций в неделю, проблема одноразового использования не привела к невыносимому недовольству клиентов в этом случае.
• Синхронизированные по времени одноразовые пароли в некотором роде похожи на одноразовые пароли, но вводимое значение отображается на небольшом (обычно карманном) предмете и меняется примерно раз в минуту.
• Одноразовые пароли PassWindow используются в качестве одноразовых паролей, но динамические символы, которые необходимо ввести, видны только тогда, когда пользователь накладывает уникальный напечатанный визуальный ключ на сгенерированное сервером изображение проверки, отображаемое на экране пользователя.
• Контроль доступа на основе криптографии с открытым ключом, например ssh . Необходимые ключи обычно слишком велики для запоминания (но см. предложение Passmaze) ^[75] и должны храниться на локальном компьютере, токене безопасности или портативном запоминающем устройстве, таком как USB-флеш-накопитель или даже дискета . Закрытый ключ может храниться у поставщика облачных услуг и активироваться с помощью пароля или двухфакторной аутентификации.
• Биометрические методы обещают аутентификацию на основе неизменяемых личных характеристик, но в настоящее время (2008 г.) имеют высокий уровень ошибок и требуют дополнительного оборудования для сканирования, ^{[ требуется обновление ]} например, отпечатков пальцев , радужных оболочек глаз и т. д. Их было легко подделать в некоторых известных инцидентах, связанных с тестированием коммерчески доступных систем, например, демонстрация подделки отпечатков пальцев с помощью жевательной резинки ^[76], и, поскольку эти характеристики неизменяемы, их нельзя изменить в случае компрометации; это очень важный фактор в управлении доступом, поскольку скомпрометированный токен доступа обязательно небезопасен.
• Технология единого входа, как утверждается, устраняет необходимость иметь несколько паролей. Такие схемы не освобождают пользователей и администраторов от необходимости выбирать разумные единые пароли, а проектировщиков или администраторов систем — от необходимости гарантировать, что конфиденциальная информация управления доступом, передаваемая между системами, поддерживающими единый вход, защищена от атак. Пока еще не разработано ни одного удовлетворительного стандарта.
• Технология Envaulting — это способ защиты данных на съемных устройствах хранения данных, таких как USB-флеш-накопители, без использования пароля. Вместо пользовательских паролей контроль доступа основан на доступе пользователя к сетевому ресурсу.
• Пароли, не основанные на тексте, такие как графические пароли или пароли, основанные на движении мыши. ^[77] Графические пароли являются альтернативным средством аутентификации для входа в систему, предназначенным для использования вместо обычного пароля; они используют изображения , графику или цвета вместо букв , цифр или специальных символов . Одна система требует, чтобы пользователи выбрали серию лиц в качестве пароля, используя способность человеческого мозга легко вспоминать лица . ^[78] В некоторых реализациях пользователю требуется выбрать из серии изображений в правильной последовательности, чтобы получить доступ. ^[79] Другое решение для графического пароля создает одноразовый пароль , используя случайно сгенерированную сетку изображений. Каждый раз, когда пользователю требуется пройти аутентификацию, он ищет изображения, которые соответствуют его предварительно выбранным категориям, и вводит случайно сгенерированный буквенно-цифровой символ, который появляется на изображении, чтобы сформировать одноразовый пароль. ^{[80] [81]} До сих пор графические пароли являются многообещающими, но не получили широкого распространения. Были проведены исследования по этой теме, чтобы определить его применимость в реальном мире. В то время как некоторые полагают, что графические пароли будет сложнее взломать , другие предполагают, что люди будут с такой же вероятностью выбирать обычные изображения или последовательности, как и обычные пароли. ^{[ необходима цитата ]}
• 2D-ключ (двумерный ключ) ^[82] — это метод ввода ключа в виде двумерной матрицы, имеющий стили ключей многострочной парольной фразы, кроссворда, ASCII/Unicode-арта с дополнительными текстовыми семантическими шумами для создания большого пароля/ключа длиной более 128 бит для реализации MePKC (запоминающейся криптографии с открытым ключом) ^[83] с использованием полностью запоминающегося закрытого ключа на основе современных технологий управления закрытыми ключами, таких как зашифрованный закрытый ключ, разделенный закрытый ключ и перемещаемый закрытый ключ.
• Когнитивные пароли используют пары вопрос/ответ/реакция для подтверждения личности.

«Пароль мертв»

«Пароль мертв» — повторяющаяся идея в компьютерной безопасности . Приводимые причины часто включают ссылку на удобство использования , а также проблемы безопасности паролей. Она часто сопровождается аргументами о том, что замена паролей более безопасными средствами аутентификации необходима и неизбежна. Это утверждение было сделано многими людьми, по крайней мере, с 2004 года. ^{[74] [84] [85] [86] [87] [88] [89] [90]}

Альтернативы паролям включают биометрию , двухфакторную аутентификацию или единый вход , Microsoft Cardspace , проект Хиггинса , Liberty Alliance , NSTIC , FIDO Alliance и различные предложения Identity 2.0. ^{[91] [92]}

Однако, несмотря на эти прогнозы и попытки заменить их, пароли по-прежнему остаются доминирующей формой аутентификации в Интернете. В «Постоянстве паролей» Кормак Херли и Пол ван Ооршот предлагают приложить все усилия, чтобы положить конец «совершенно неверному предположению», что пароли мертвы. ^[93] Они утверждают, что «никакая другая технология не сравнится с их сочетанием стоимости, оперативности и удобства» и что «пароли сами по себе являются наилучшим вариантом для многих сценариев, в которых они в настоящее время используются».

После этого Бонно и др. систематически сравнивали веб-пароли с 35 конкурирующими схемами аутентификации с точки зрения их удобства использования, развертывания и безопасности. ^{[94] [95]} Их анализ показывает, что большинство схем лучше паролей в плане безопасности, некоторые схемы лучше, а некоторые хуже в плане удобства использования, в то время как каждая схема хуже паролей в плане развертывания. Авторы делают вывод следующим наблюдением: «Предельные выгоды часто недостаточны для достижения энергии активации, необходимой для преодоления значительных затрат на переход, что может дать лучшее объяснение того, почему мы, вероятно, проживем значительно дольше, прежде чем увидим, как похоронная процессия паролей прибудет на кладбище».

Смотрите также

• Код доступа (неоднозначность)
• Кодовый замок
• Diceware
• Электронный замок
• Kerberos (протокол)
• Ключевой файл
• PassMap
• Усталость от паролей
• Уведомление о пароле по электронной почте
• Психология паролей
• Синхронизация паролей
• Предварительно предоставленный ключ
• Генератор случайных паролей
• Шибболет
• Удобство использования систем веб-аутентификации

Ссылки

1. Ранджан, Пратик; Ом, Хари (6 мая 2016 г.). «Эффективная схема аутентификации пароля удаленного пользователя на основе криптосистемы Рабина». Wireless Personal Communications . 90 (1): 217–244. doi :10.1007/s11277-016-3342-5. ISSN  0929-6212. S2CID  21912076.
2. Williams, Shannon (21 октября 2020 г.). "У среднего человека 100 паролей - исследование". NordPass . Получено 28 апреля 2021 г. .
3. Grassi, Paul A.; Garcia, Michael E.; Fenton, James L. (июнь 2017 г.). "Специальная публикация NIST 800-63-3: Руководство по цифровой идентификации". Национальный институт стандартов и технологий (NIST). doi : 10.6028/NIST.SP.800-63-3 . Получено 17 мая 2019 г. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
4. "протокол аутентификации". Центр ресурсов компьютерной безопасности (NIST). Архивировано из оригинала 17 мая 2019 года . Получено 17 мая 2019 года .
5. "Passphrase". Центр ресурсов компьютерной безопасности (NIST) . Получено 17 мая 2019 г.
6. Полибий о римской армии. Архивировано 07.02.2008 на Wayback Machine . Ancienthistory.about.com (13.04.2012). Получено 20.05.2012.
7. Марк Бандо (2007). 101-я воздушно-десантная: Кричащие орлы во Второй мировой войне. Издательская компания Mbi. ISBN 978-0-7603-2984-9. Архивировано из оригинала 2 июня 2013 . Получено 20 мая 2012 .
8. Макмиллан, Роберт (27 января 2012 г.). «Первый в мире компьютерный пароль? Он тоже был бесполезен». Журнал Wired . Получено 22 марта 2019 г.
9. Хант, Трой (26 июля 2017 г.). «Эволюция паролей: руководство по аутентификации для современной эпохи» . Получено 22 марта 2019 г.
10. Руководство программиста CTSS, 2-е изд., MIT Press, 1965
11. Моррис, Роберт; Томпсон, Кен (3 апреля 1978 г.). «Безопасность паролей: история болезни». Bell Laboratories . CiteSeerX 10.1.1.128.1635 . 
12. Вэнс, Эшли (10 января 2010 г.). «Если ваш пароль 123456, просто взломайте его». The New York Times . Архивировано из оригинала 11 февраля 2017 г.
13. "Управление сетевой безопасностью". Архивировано из оригинала 2 марта 2008 года . Получено 31 марта 2009 года .{{cite web}}: CS1 maint: бот: исходный статус URL неизвестен ( ссылка ). Fred Cohen and Associates. All.net. Получено 20 мая 2012 г.
14. Ландин, Ли (11 августа 2013 г.). "PIN-коды и пароли, часть 2". Пароли . Орландо: SleuthSayers.
15. Запоминаемость и безопасность паролей. Архивировано 14 апреля 2012 г. на Wayback Machine (pdf). ncl.ac.uk. Получено 20 мая 2012 г.
16. Майкл Э. Уитмен; Герберт Дж. Мэтторд (2014). Принципы информационной безопасности. Cengage Learning. стр. 162. ISBN 978-1-305-17673-7.
17. "Как создать генератор случайных паролей". PCMAG . Получено 5 сентября 2021 г. .
18. Льюис, Дэйв (2011). Ctrl-Alt-Delete. Lulu.com. стр. 17. ISBN 978-1471019111. Получено 10 июля 2015 г.
19. Techlicious / Fox Van Allen @techlicious (8 августа 2013 г.). "Google раскрывает 10 худших идей для паролей | TIME.com". Techland.time.com. Архивировано из оригинала 22 октября 2013 г. Получено 16 октября 2013 г.
20. Флейшман, Гленн (24 ноября 2015 г.). «Записывайте свои пароли, чтобы повысить безопасность — контринтуитивное представление делает вас менее уязвимыми для удаленных атак, а не более». MacWorld . Получено 28 апреля 2021 г.
21. Блог Lyquix: Нужно ли нам скрывать пароли? Архивировано 25 апреля 2012 г. на Wayback Machine . Lyquix.com. Получено 20 мая 2012 г.
22. Джонатан Кент Малайзия угонщики автомобилей крадут палец Архивировано 20 ноября 2010 в Wayback Machine . BBC (31 марта 2005)
23. Стюарт Браун "Десять самых популярных паролей, используемых в Соединенном Королевстве". Архивировано из оригинала 8 ноября 2006 года . Получено 14 августа 2007 года .. Modernlifeisrubbish.co.uk (26 мая 2006 г.). Получено 20 мая 2012 г.
24. Патент США 8046827 
25. Уилкс, М. В. Компьютерные системы с разделением времени. American Elsevier, Нью-Йорк, (1968).
26. Шофилд, Джек (10 марта 2003 г.). «Роджер Нидхэм». The Guardian .
27. The Bug Charmer: Passwords Matter Архивировано 2 ноября 2013 г. на Wayback Machine . Bugcharmer.blogspot.com (20 июня 2012 г.). Получено 30 июля 2013 г.
28. Alexander, Steven. (20 июня 2012 г.) The Bug Charmer: Насколько длинными должны быть пароли? Архивировано 20 сентября 2012 г. на Wayback Machine . Bugcharmer.blogspot.com. Получено 30 июля 2013 г.
29. "passlib.hash - Схемы хеширования паролей" Архивировано 21 июля 2013 г. на Wayback Machine .
30. Florencio et al., Руководство администратора по исследованию интернет-паролей. Архивировано 14 февраля 2015 г. на Wayback Machine . (pdf) Получено 14 марта 2015 г.
31. История взлома – Как я взломал более 122 миллионов хэшированных паролей SHA1 и MD5 « Блог Тиреуса Архивировано 30 августа 2012 г. на Wayback Machine . Blog.thireus.com (29 августа 2012 г.). Получено 30 июля 2013 г.
32. Morris, Robert & Thompson, Ken (1979). "Password Security: A Case History". Communications of the ACM . 22 (11): 594–597. CiteSeerX 10.1.1.135.2097 . doi :10.1145/359168.359172. S2CID  207656012. Архивировано из оригинала 22 марта 2003 г. 
33. Защита паролем для современных операционных систем. Архивировано 11 марта 2016 г. на Wayback Machine (pdf). Usenix.org. Получено 20 мая 2012 г.
34. Как запретить Windows сохранять хэш LAN Manager вашего пароля в Active Directory и локальных базах данных SAM Архивировано 9 мая 2006 г. на Wayback Machine . support.microsoft.com (3 декабря 2007 г.). Получено 20 мая 2012 г.
35. "Почему следует лгать при настройке контрольных вопросов пароля". Techlicious. 8 марта 2013 г. Архивировано из оригинала 23 октября 2013 г. Получено 16 октября 2013 г.
36. Джозеф Стейнберг (12 ноября 2014 г.). «Forbes: почему вы должны игнорировать все, что вам говорили о выборе паролей». Forbes . Архивировано из оригинала 12 ноября 2014 г. . Получено 12 ноября 2014 г. .
37. «Проблемы с принудительной истечением срока действия обычного пароля». IA Matters . CESG: подразделение информационной безопасности GCHQ. 15 апреля 2016 г. Архивировано из оригинала 17 августа 2016 г. Получено 5 августа 2016 г.
38. Шнайер о безопасности обсуждения смены паролей Архивировано 30 декабря 2010 г. на Wayback Machine . Schneier.com. Получено 20 мая 2012 г.
39. Сельцер, Ларри. (9 февраля 2010 г.) «American Express: Strong Credit, Weak Passwords» Архивировано 12 июля 2017 г. на Wayback Machine . Pcmag.com. Получено 20 мая 2012 г.
40. «Десять мифов о паролях Windows»: «Диалоговые окна NT... ограничивают пароли максимум 14 символами»
41. "Вы должны указать пароль длиной от 1 до 8 символов". Jira.codehaus.org. Получено 20 мая 2012 г. Архивировано 21 мая 2015 г. на Wayback Machine
42. «To Cappitize or Not to Cappitize?» Архивировано 17 февраля 2009 г. на Wayback Machine . World.std.com. Получено 20 мая 2012 г.
43. Томас, Кейр (10 февраля 2011 г.). «Повторное использование паролей — обычное дело, как показывают исследования». PC World . Архивировано из оригинала 12 августа 2014 г. Получено 10 августа 2014 г.
44. Паули, Даррен (16 июля 2014 г.). «Microsoft: Вам НУЖНЫ плохие пароли и следует часто их использовать повторно». The Register . Архивировано из оригинала 12 августа 2014 г. Получено 10 августа 2014 г.
45. Брюс Шнайер: Информационный бюллетень Crypto-Gram Архивировано 15 ноября 2011 г. на Wayback Machine 15 мая 2001 г.
46. "Десять мифов о паролях Windows": Миф № 7. Никогда не следует записывать свой пароль
47. Котадиа, Мунир (23 мая 2005 г.) Гуру безопасности Microsoft: записывайте свои пароли. News.cnet.com. Получено 20.05.2012.
48. «Дилемма надёжного пароля» Архивировано 18 июля 2010 года на Wayback Machine Ричардом Э. Смитом: «мы можем суммировать классические правила выбора пароля следующим образом: пароль должен быть таким, чтобы его невозможно было запомнить, и его никогда не следует записывать».
49. Боб Дженкинс (11 января 2013 г.). «Выбор случайных паролей». Архивировано из оригинала 18 сентября 2010 г.
50. «Запоминаемость и безопасность паролей – некоторые эмпирические результаты» Архивировано 19 февраля 2011 г. на Wayback Machine (pdf)

    «Ваш пароль ... в надежном месте, например, на обратной стороне вашего кошелька или сумочки».

51. «Стоит ли мне записывать свою парольную фразу?» Архивировано 17 февраля 2009 г. на Wayback Machine . World.std.com. Получено 20 мая 2012 г.
52. Реддинг, Дэвид Э.; Особенности, AEP опубликовано в (19 апреля 2019 г.). «У вашего имущества может быть серьезная проблема с паролем». Kiplinger.com . Получено 17 августа 2024 г. .
53. Двухфакторная аутентификация Архивировано 18 июня 2016 г. на Wayback Machine
54. Гудин, Дэн (3 июня 2019 г.). «Microsoft заявляет, что обязательная смена пароля «устарела». Ars Technica . Получено 1 ноября 2022 г. .
55. Кристен Ранта-Хайкал Уилсон (9 марта 2020 г.). «Дебаты вокруг политик ротации паролей». Институт SANS . Получено 31 октября 2022 г.
56. AlFayyadh, Bander; Thorsheim, Per; Jøsang, Audun; Klevjer, Henning. «Улучшение удобства управления паролями с помощью стандартизированных политик паролей» (PDF) . Архивировано (PDF) из оригинала 20 июня 2013 г. . Получено 12 октября 2012 г. .
57. Tung, Liam (9 августа 2017 г.). «Ненавидите глупые правила паролей? Как и тот, кто их создал». ZDNet . Архивировано из оригинала 29 марта 2018 г.
58. Макмиллан, Роберт (7 августа 2017 г.). «Человек, который написал эти правила паролей, дал новый совет: N3v$r M1^d!» . The Wall Street Journal . Архивировано из оригинала 9 августа 2017 г.
59. Roberts, Jeff John (11 мая 2017 г.). «Эксперты говорят, что мы наконец-то сможем отказаться от этих глупых правил паролей» . Fortune . Архивировано из оригинала 28 июня 2018 г.
60. Вишневски, Честер (18 августа 2016 г.). «Новые правила паролей NIST – что вам нужно знать». Naked Security . Архивировано из оригинала 28 июня 2018 г.
61. П. Цоккис и Э. Ставру, «Инструмент-генератор паролей для повышения осведомленности пользователей о стратегиях создания плохих паролей», Международный симпозиум по сетям, компьютерам и коммуникациям 2018 г. (ISNCC), Рим, 2018 г., стр. 1–5, doi : 10.1109/ISNCC.2018.8531061.
62. "Пароль". Архивировано из оригинала 23 апреля 2007 года . Получено 20 мая 2012 года .{{cite web}}: CS1 maint: бот: исходный статус URL неизвестен ( ссылка ). cs.columbia.edu
63. Шнайер, Real-World Passwords Архивировано 23 сентября 2008 г. на Wayback Machine . Schneier.com. Получено 20 мая 2012 г.
64. MySpace Passwords Aren't So Dumb Архивировано 29 марта 2014 г. на Wayback Machine . Wired.com (27 октября 2006 г.). Получено 20 мая 2012 г.
65. "CERT IN-98.03". 16 июля 1998 г. Получено 9 сентября 2009 г.
66. Urbina, Ian; Davis, Leslye (23 ноября 2014 г.). «Тайная жизнь паролей». The New York Times . Архивировано из оригинала 28 ноября 2014 г.
67. "Consumer Password Worst Practices (pdf)" (PDF) . Архивировано (PDF) из оригинала 28 июля 2011 г.
68. "Сайт НАТО взломан". The Register . 24 июня 2011 г. Архивировано из оригинала 29 июня 2011 г. Получено 24 июля 2011 г.
69. «Anonymous слили 90 000 учетных записей электронной почты военных в ходе последней атаки по борьбе с киберугрозами». 11 июля 2011 г. Архивировано из оригинала 14 июля 2017 г.
70. "Анализ военных паролей". 12 июля 2011 г. Архивировано из оригинала 15 июля 2011 г.
71. "В результате взлома Linkedin в 2012 году было украдено 117 миллионов адресов электронной почты и паролей, а не 6,5 миллионов - Security News". www.trendmicro.com . 18 мая 2016 г. Получено 11 октября 2023 г.
72. "12 лучших методов взлома паролей, используемых хакерами". IT PRO . 14 октября 2019 г. Получено 18 июля 2022 г.
73. "The Quest to Replace Passwords (pdf)" (PDF) . IEEE. 15 мая 2012 г. Архивировано (PDF) из оригинала 19 марта 2015 г. Получено 11 марта 2015 г.
74. "Гейтс предсказывает смерть пароля". CNET . 25 февраля 2004 г. Архивировано из оригинала 2 апреля 2015 г. Получено 14 марта 2015 г.
75. Архив Cryptology ePrint: Отчет 2005/434 Архивировано 14 июня 2006 г. на Wayback Machine . eprint.iacr.org. Получено 20 мая 2012 г.
76. T Matsumoto. H Matsumotot; K Yamada & S Hoshino (2002). Van Renesse, Rudolf L. (ред.). "Влияние искусственных 'липких' пальцев на системы отпечатков пальцев". Proc SPIE . Optical Security and Counterfeit Deterrence Techniques IV. 4677 : 275. Bibcode :2002SPIE.4677..275M. doi :10.1117/12.462719. S2CID  16897825.
77. Использование AJAX для паролей изображений – Безопасность AJAX Часть 1 из 3 Архивировано 16 июня 2006 г. на Wayback Machine . waelchatila.com (18 сентября 2005 г.). Получено 20 мая 2012 г.
78. Батлер, Рик А. (21 декабря 2004 г.) Лицо в толпе. Архивировано 27 июня 2006 г. на Wayback Machine . mcpmag.com. Получено 20 мая 2012 г.
79. графический пароль или графическая аутентификация пользователя (GUA) Архивировано 21 февраля 2009 г. на Wayback Machine . searchsecurity.techtarget.com. Получено 20 мая 2012 г.
80. Эрика Чиковски (3 ноября 2010 г.). «Изображения могут изменить картину аутентификации». Dark Reading. Архивировано из оригинала 10 ноября 2010 г.
81. «Confident Technologies предлагает многофакторную аутентификацию на основе изображений для усиления надежности паролей на общедоступных веб-сайтах». 28 октября 2010 г. Архивировано из оригинала 7 ноября 2010 г.
82. Руководство пользователя для метода и системы ввода двумерного ключа (2D Key). Архивировано 18 июля 2011 г. на Wayback Machine . xpreeli.com. (8 сентября 2008 г.). Получено 20 мая 2012 г.
83. Кок-Ва Ли «Методы и системы создания больших запоминающихся секретов и их применение» Патент US20110055585, WO2010010430. Дата подачи: 18 декабря 2008 г.
84. Котадиа, Мунир (25 февраля 2004 г.). «Гейтс предсказывает смерть пароля». ZDNet . Получено 8 мая 2019 г. .
85. «IBM представляет пять инноваций, которые изменят нашу жизнь в течение пяти лет». IBM. 19 декабря 2011 г. Архивировано из оригинала 17 марта 2015 г. Получено 14 марта 2015 г.
86. Хонан, Мэт (15 мая 2012 г.). «Убейте пароль: почему строка символов больше не может нас защитить». Wired . Архивировано из оригинала 16 марта 2015 г. Получено 14 марта 2015 г.
87. "Google security exec: 'Passwords are dead'". CNET . 25 февраля 2004 г. Архивировано из оригинала 2 апреля 2015 г. Получено 14 марта 2015 г.
88. "Authenciation at Scale". IEEE. 25 января 2013 г. Архивировано из оригинала 2 апреля 2015 г. Получено 12 марта 2015 г.
89. Мимс, Кристофер (14 июля 2014 г.). «Пароль наконец-то умирает. Вот мой». The Wall Street Journal . Архивировано из оригинала 13 марта 2015 г. Получено 14 марта 2015 г.
90. «Кража учетных данных в России показывает, почему пароль мертв». Computer World . 14 августа 2014 г. Архивировано из оригинала 2 апреля 2015 г. Получено 14 марта 2015 г.
91. "Глава NSTIC Джереми Грант хочет уничтожить пароли". Fedscoop. 14 сентября 2014 г. Архивировано из оригинала 18 марта 2015 г. Получено 14 марта 2015 г.
92. "Обзор спецификаций". FIDO Alliance. 25 февраля 2014 г. Архивировано из оригинала 15 марта 2015 г. Получено 15 марта 2015 г.
93. «Исследовательская программа, признающая сохранение паролей». IEEE Security&Privacy. Январь 2012 г. Архивировано из оригинала 20 июня 2015 г. Получено 20 июня 2015 г.
94. Бонно, Джозеф; Херли, Кормак; Ооршот, Пол К. ван; Стайано, Франк (2012). «В поисках замены паролей: структура для сравнительной оценки схем веб-аутентификации». Технический отчет — Кембриджский университет. Компьютерная лаборатория . Кембридж, Великобритания: Компьютерная лаборатория Кембриджского университета. doi :10.48456/tr-817. ISSN  1476-2986 . Получено 22 марта 2019 г.
95. Бонно, Джозеф; Херли, Кормак; Ооршот, Пол С. ван; Стахано, Франк (2012). «В поисках замены паролей: структура для сравнительной оценки схем веб-аутентификации». Симпозиум IEEE по безопасности и конфиденциальности 2012 года . Симпозиум IEEE по безопасности и конфиденциальности 2012 года. Сан-Франциско, Калифорния. С. 553–567. doi :10.1109/SP.2012.44. ISBN 978-1-4673-1244-8.

Внешние ссылки

• Графические пароли: обзор
• Большой список часто используемых паролей
• Большая коллекция статистики о паролях
• Научные статьи по криптографии на основе паролей
• Международная конференция по паролям
• Процедурные рекомендации для организаций и администраторов (PDF)
• Центр исследований безопасности, коммуникаций и сетей, Университет Плимута (PDF)
• Проект обновления стандартов паролей NIST для федерального правительства США за 2017 год