Comments 4
Велкам к нам в тг @defhubcommunity там много интересного и полезного про кибербезопасность.
Другой способ — выбрать название песни и объединить его с именем исполнителя и знаками/цифрами
Пожалуйста, не рекомендуйте людям подобную ерунду с серьёзным видом. То, что вы предлагаете — это лишь разновидность словарного пароля. Если атакующий в какой-то момент получит (солёный) хеш пароля, он в первую очередь будет перебирать именно такие пароли из «аугментированных» названий песен и фильмов, строчек из песен, имён персонажей и т. д. Хотя интуитивно кажется, что количество вариантов огромно и никто не сможет догадаться, как именно вы исказили название любимой песни, пространство поиска таких паролей ничтожно по сравнению с честным случайным паролем такой же длины.
UPD:
Не заметил, что это перевод. Что ж, удачи Центру кибербезопасности Дании с такими шикарными парольными рекомендациями.
Прямая ссылка на оригинал, которую автор перевода, почему-то, постеснялся привести:
https://www.cfcs.dk/globalassets/cfcs/dokumenter/vejledninger/en/cfcs-password-security-en-2023.pdf
Добрый день! Спасибо за обратную связь. Сгенерированный пароль аналогичной длины и с применением спецсимволов, бесспорно, надежнее с точки зрения подбора. Авторы статьи не утверждали обратного.
В публикации есть тезис о том, что обычный пользователь не может запоминать такие сложные пароли, которые создает генератор, в результате чего, пользователь записывает их на бумажку или в txt на рабочем столе. Это статистический факт (что сделает простой пользователь не из ИТ, которому саппорт пришлет сгенерированный пароль?). Если в организации работает хотя бы 1000 сотрудников, вы не сможете их всех убедить использовать менеджер паролей или проконтролировать, что все они используют менеджер паролей. Да, вы сможете им всем установить менеджер паролей, сделаете распоряжении о запрете хранения паролей в открытом виде, проверите инструментами отсутствие файлов txt с названием "пароль". Но это не гарантирует использование менеджера паролей.
Авторы статьи дают рекомендацию, как облегчить работу пользователей с паролями, сохранив при этом достаточный уровень защищенности.
Кроме того, для работы с менеджером пароля пользователю также потребуется аутентификация, и скорее всего она тоже будет с применением пароля.
Хотя интуитивно кажется, что количество вариантов огромно и никто не сможет догадаться, как именно вы исказили название любимой песни, пространство поиска таких паролей ничтожно по сравнению с честным случайным паролем такой же
Мы все таки писали про корпоративную безопасность. Если злоумышленник пытается поломать пароль конкретного пользователя, конечно же он может собрать инфу из открытых источников и попытаться составить словари таргетированно на этого человека (Crunch'ем нагенерировать комбинаций на основе названий фильмов, слов любимой песни, имен близких, знаменательных дат и так далее). Но по этому словарю ему все равно придется брутить пароль, от чего авторы статьи также предлагают не только защищаться, но и обязательно мониторить такие попытки.
Я понимаю, если бы этот базовый список был на каком нибудь новостном сайте, где нужно для отчётности дописать статью и отчитаться, что я на сегодня норму выполнил. Но не на профильном же ресурсе...
Практики парольной безопасности