13 мая 2016

Почему частая смена пароля только вредит безопасности

Частую смену пароля называют одним из самых действенных способов защиты информации. Однако не всё так однозначно, как о том твердят. Почему — читайте в нашей статье.

Пётр Глухов

Почему частая смена пароля только вредит безопасности

Наверняка вы хотя бы раз получали уведомление по электронной почте, в котором вам рекомендовали сменить пароль. Как правило, такие письма приходят от почтовых сервисов и администраторов корпоративных сетей раз в полгода. И здесь встаёт выбор: следовать совету тех, «кому виднее», и сменить пароль либо проигнорировать требование и оставить всё как есть. В пользу второго говорят спецслужбы Великобритании, в чьи обязанности входит радиоэлектронная разведка и информационная защита армии.

7 мая, по случаю Международного дня пароля, представители одного из подразделений Центра правительственной связи Великобритании (Government Communications Headquarters, GCHQ) выпустили разъяснение, почему не стоит менять пароль слишком часто.

Обычно политика безопасности обязывает нас использовать лишь сложные пароли, которые тяжело подобрать и, соответственно, запомнить. Пароли должны быть максимально длинными и максимально случайными. Управлять парой таких паролей нам вполне по силам, однако, когда счёт идёт на десятки, ситуация приобретает неконтролируемый характер.

Группа безопасности электронных коммуникаций (Communications Electronics Security Group

CESG)

Положение усугубляется тем, что нам не оставляют права и дальше использовать старый пароль даже в том случае, если он отвечает самым высоким требованиям безопасности. В таком случае человек не мудрствует лукаво и поступает не самым благоразумным образом:

Создаёт новый пароль, незначительно модифицируя старый. Нападающие могут эксплуатировать эту брешь. Если они уже знали предыдущий пароль, то, вероятнее всего, им не составит труда подобрать и новый. Более того, зачастую пользователи сами забывают новый пароль, а это влечёт неудобства, потерю времени и производительности.
Ослабляет старую комбинацию. Люди сознательно упрощают свои новые пароли для того, чтобы нормально упаковать их в уме. Под нож попадают верхний регистр, специальные символы и цифры. Разумеется, от этого пользователь лишь проигрывает.
Записывает свой новый пароль на бумагу и оставляет его практически в свободном доступе. Понятное дело, такое поведение напрочь убивает весь смысл процедуры.

«Это парадокс: чем чаще мы вынуждены менять пароли, тем большей уязвимости мы подвержены. На первый взгляд кажется совершенно разумным менять пароли как можно чаще, но практика показывает, что это не так», — заключают эксперты по безопасности.

Конечно, после прочитанного не стоит пренебрегать всеми запросами на смену пароля. Например, нельзя игнорировать крупные утечки данных наподобие той, что случилась в 2013 году c аккаунтами Adobe. В таких случаях придётся придумать новый пароль и, возможно, составить его из эмодзи: говорят, что так ещё безопаснее.

В комментариях к оригинальной статье один из читателей высказал мнение, что правительственные службы специально пускают подобные утки, чтобы усыпить бдительность масс. Расчёт простой: уже взломанные аккаунты не придётся открывать заново (промышленные масштабы как-никак). Кто-то поддержал эту мысль, ну а кто-то посоветовал паникёру принять таблетку от вселенского заговора.

А как вы считаете, стоит ли менять пароль, если он надёжен и нет признаков постороннего доступа к вашему аккаунту?

Лучшие предложения

Надо брать: USB‑концентратор Orico за 1 717 рублей

16 uyutnyh hudi i svitshotov, kotorye sogreyut zimoj

16 уютных худи и свитшотов, которые согреют зимой

Выгодно: робот‑пылесос Dreame D10 Plus за 23 431 рубль

Цена дня: смартфон realme Note 60 за 8 920 рублей

15 магазинов, в которые стоит заглянуть во время «чёрной пятницы»

Otbornye skidki: vygodnye predlozheniya ot AliExpress, Tefal, Lamoda i drugih magazinov

Отборные скидки: выгодные предложения от AliExpress, Tefal, Lamoda и других магазинов

15 tovarov, kotorye mozhno kupit' vygodno na rasprodazhe «Chyornaya pyatnica» na AliExpress

15 товаров со скидками, которые стоит купить во время «Чёрной пятницы» на AliExpress

12 neobychnyh variantov posudy, kotoraya pokoryaet s pervogo vzglyada

12 необычных вариантов посуды, которая покоряет с первого взгляда

Это интересно

Лол, это что, 2к17? Квиз, от которого можно поймать острый приступ ностальгии

От NFC до биоэквайринга: 6 разработок, которые изменили финансовые привычки россиян

Как рассчитать бюджет на ремонт, чтобы обойтись без лишних затрат

Выгода до 1,4 миллиона рублей, быстрый переезд и ещё 3 причины купить квартиру в кварталах ПИК

Комментарии

Aleksandr Demshin

13.05.16 14:36

А разве менеджеры паролей не спасают в этом вопросе? Я помню наизусть пять паролей, а остальные десятки менеджер паролей хранит.

Илья Иванов

13.05.16 14:48

Если менеджер сломают, потеряешь сразу все) тоже не кошерно получается с точки зрения безопасности

Роман Татаринов

13.05.16 14:52

Ну, к примеру padlock. Как и что можно потерять? Аутентификация по электронной почте, которую тоже нужно узнать, плюс подтверждение по самой почте, плюс пароль. И того знать 2 пароля и одну почту. Как-то многовато. Довольно непросто взломать, если пользователь сам не треплет на право-налево почту.

Илья Иванов

13.05.16 15:09

Базара нет :) потерять сложно, если сам не дурак. Но если будет атака на сам сервис и утечка базы, то там практически вся нужная инфа имеется. Это конечно маловероятно, но всякое бывает. В 2000 году какой-то Вася из Челябинска PayPal сломал и угнал несколько мильонов с кредиток. Казалось бы контора серьезная, за безопасностью следят

Ikar Dedalovich

13.05.16 16:32

Поэтому нельзя доверять всяким ластпасам и аналогам. KeePass + Dropbox или аналогичные решения, в которых ты сам хранишь свою базу, защищенную сложным паролем, и сам ее синхронизируешь. И все проблемы автора статьи решены. Менять пароли можно и нужно. Не пытаясь их помнить.

Илья Иванов

13.05.16 16:39

Возможно нубский вопрос. А если я захочу залогиниться куда-то с чужого компа, мне нужно будет поставить дропбокс и KeePas, ввести пароли к ним и после использования постараться за собой протереть?

Пётр Диденко

13.05.16 16:44

Можно на телефоне посмотреть соотв пароль

Ikar Dedalovich

13.05.16 16:48

Да, версия для телефона в этом случае оптимальный вариант. Кроме того она же позволяет логиниться на телефоне в нужные сервисы.

Илья Иванов

13.05.16 17:25

Ну т.е. проблема с логином на чужом компе все же имеется. Либо пароли должны быть не слишком жуткими, чтобы можно было легко перепечатать с телефона.

Konstantin Yakovlev

13.05.16 18:52

Самые важные можно и выучить.

Илья Иванов

13.05.16 18:56

Неважные можно запросить на почту всегда, не обязательно их помнить или хранить

Konstantin Yakovlev

13.05.16 18:57

Нужно, чтобы и удобство было. На почту обычно только сброс запрашивается. И вообще не нужно логиниться на левых компах.

Илья Иванов

13.05.16 19:08

Это понятно, еще пить и курить не нужно :) но иногда хочется

Ikar Dedalovich

13.05.16 22:55

>Ну т.е. проблема с логином на чужом компе все же имеется. Если часто сидите за чужими компами - носите с собой флешку с портабл-версией хранилки паролей.

admiless

16.05.16 11:38

и как обьяснить кому-то, что тебе жизненно необходимо воткнуть свою флешку в его комп? парадокс: вы заботитесь о безопасности, но при этом бездумно позволите первому встречному запускать программы с флешки на вашем компе?

Ikar Dedalovich

16.05.16 12:13

>как обьяснить кому-то, что тебе жизненно необходимо воткнуть свою флешку в его комп? У меня такой потребности не возникает. Это крайне редкий кейс. Но все равно у вас первое предложение противоречит второму. Во-первых, это я буду вставлять флешку в чужой комп, а не "бездумно позволите первому встречному запускать программы с флешки на вашем компе". Во-вторых, это лишь один из вариантов нелокального доступа к базе, зачем передергивать, обсуждались же и другие (можно хранить портабл версию менеджера паролей вместе с базой где-то в дропбоксе, почте, гуглдрайве, амазоновком инстансе, где угодно, временно скачивать их на чужой комп, пользоваться и удалять; можно пользоваться версией для телефона, который точно всегда при себе) Ну и в третьих, к чему холивар? Храните ваши данные так, как вам удобно, хоть в ластпассе, хоть в уме, хоть на листочке на мониторе. Я свой выбор сделал, живу с ним уже лет 7, ни разу ни одного пароля из 77 штук у меня не увели, но я свой способ никому не навязываю.

Valentin Pimenov

17.05.16 00:59

Прошу прощения, хотел единственно, уточнить формулировку, что под "ни разу ни одного пароля из 77 штук у меня не увели" имелось в виду "не обнаружил признаков того, что увели хотя бы один из 77 паролей".

Andrew meierholz

14.05.16 06:55

Доверять можно, просто есть вероятность, что в случае стороннего взлома того же KeePass, все ваши пароли в расшифрованном виде улетят кому-либо на почту. Либо будет скомпрометирован сам пароль для keePass, а это катастрофа. В любом случае менеджеры паролей это не панацея и ими тоже нужно пользоваться правильно.

Ikar Dedalovich

14.05.16 08:23

Доверять можно? На каком основании? Тот же ластпасс уже взламывали. А менеджер паролей куда надёжнее, если правильно им пользоваться, да. Если вы еще больший параноик, чем я, и опасаетесь, что кто-то взломает сперва дропбокс (ну или чем вы пользуетесь для синхронизации, яндекс.диск, гугл драйв, не суть), а потом смогут взломать файл с вашими паролями, то не пользуйтесь сервисами синхронизации, а храните базу паролей где-то у себя. Скажем, на флешке, или внутри виртуальной машины/контейнера.

Andrew meierholz

14.05.16 08:58

Доверять тому же keepass можно на основании того, что это программа с открытыми исходниками. Плюс шифрует свои базы более криптостойкими алгоритмами, чем тот же 1password. Истории с ластпассом не знаю, но про взлом самой программы я и писал выше - да, это проблема. То что сама база паролей в зашифрованном виде утечет куда-то вообще пофигу - я быстрее сменю все свои пароли, чем кто-то брутфорсом взломает мою базу.

Andrew meierholz

14.05.16 09:02

Кстати я не представляю схему хранения базы паролей в виртуальной машине или на флешке - это мне каждый раз, когда я хочу залогиниться в контакте, надо будет включать виртуальную машину? Ну непрактично же. Храню базу в облаке, потому как более удобного варианта пока не нашел.

Ilya Erlikhman

17.12.19 13:00

А ещё лучше - KeePass на флешке. Ну и копия на паре внешних дисков. А криптоключ от него - на другой флешке. Нет базы в компьютере и в инете - нет риска утечки. Разве что кто-то лично флешку украдёт.

Ilya Erlikhman

17.12.19 13:02

И почему-то никто про двухфакторную авторизацию не вспомнил (например, яндекс.ключ). Тут разве что мобильный могут украсть для взлома. На этот случай существует гугловское приложение "Найти устройство". Оно умеет удалять все приложения с потерянного устройства, если оно в сети.

Konstantin Yakovlev

13.05.16 16:53

А кто заставляет хранить там настоящий пароль? Вы можете составить в уме формулу, по которой вычислять правильный. Тогда в случае утери базы или получения доступа к менеджеру вы не рискуете.

Ikar Dedalovich

13.05.16 16:56

Закономерность в генерации паролей - слабое место. Плохой путь.

Ilya Erlikhman

17.12.19 13:11 | изменено

Ну, ум человека тоже может иметь криптографическую стойкость. Или формула может содержать фразу, которую разве что друзья детства ещё помнят

Олег Бервинов

13.05.16 14:41

есть в этом определенные правильные мысли, особенно о "модификации старого пароля". Однако все это из крайности в крайность. Прямо сейчас ваш аккаунт могут брутфорсить и + два спецсимвола, добавят ложку дегтя злоумышленнику (это просто абстрактный пример). И вообще 2016 на дворе, все крупные сервисы уже давно предоставляют функцию двухэтапной аутентификации.

Ikar Dedalovich

13.05.16 16:36

Если второй фактор СМС, то вы просто тешите себя иллюзиями безопасности. Есть куча способов его обойти. Например, временно отключив на стороне мобильного оператора, если новости читаете - в курсе (а спецслужбам еще проще - просто воспользоваться СОРМом, даже ничего отключать не нужно). Или же за недорого сделать себе клон нужной сим-карты. Или украсть телефон жертвы. Или временно незаметно одолжить на время авторизации.

Konstantin Yakovlev

13.05.16 16:43

Если вы считаете, что интересны спецслужбам, то вы либо параноик либо что-то действительно скрываете от них. В любом случае это сильно ограничивает число потенциальных хакеров: простой человек без паспорта не оформит клон симки. А для получения телефона нужно быть рядом с жертвой.

Ikar Dedalovich

13.05.16 16:54

Вы забываете, в какой стране вы живете. Получить клон симки без паспорта - пустяковое дело. Тысяч пять рублей вполне заменят паспорт. Таких историй масса. И да, я параноик. В современном мире это нормальное состояние любого, кто связан с IT и понимает, что и как работает. И кстати, я могу быть интересен спецслужбам только потому, что имею оппозиционные политические взгляды. Если мы говорим о России.

Konstantin Yakovlev

13.05.16 16:58

Мы не обязательно живём в одной и той же стране. В любом случае, это защищает от обычных хакеров. Пользоваться обычными сервисами в тоталитарных странах вообще чревато, наверное.

Ikar Dedalovich

13.05.16 17:12

Да, вы правы. Я по умолчанию считаю, что большинство читателей этого сайта обитают на территории СНГ. Коррупция сильна в каждой из них.

Ilya Erlikhman

17.12.19 18:02

Посмотрите, что такое "Яндекс.Ключ". Он работает не по sms. В момент настройки приложение с сайтом обменивается QR-кодом. Далее оно начинает формировать одноразовые пароли, изменяющиеся каждые полминуты. Причём на сайт уже ничего не передаёт, принцип аналогичен банковским токенам

Радик Ильин

13.05.16 18:46

Что это за бред, я периодически генерирую новые пароли в 1password и меняю на сайте и это еще никогда меня не подводило, а мастеркод состоит из 24 символов. Еще никогда !! Не разу!!! За 14 лет ничего не угнали :D Хорошие советы вы тут даёте!

admiless

16.05.16 11:44

у меня ICQ 6-значный номер, пароль из 8 знаков, его ни разу не угоняли, даже во времена бума на короткие номера ICQ, когда угонялись десятками тысяч. Это ни в коей мере не говорит о надежности пароля, скорей чистое везение

Радик Ильин

21.05.16 01:17

тоже , сменить пароль не могу, так как не помню на какой email регал, но учетки на 2 старые аськи еще живы :)

Valentin Pimenov

17.05.16 01:01

Прошу прощения, а как вы узнали, что ваши пароли не угнали? :)

Радик Ильин

21.05.16 01:24

если бы что-то важное угнали, я бы узнал. Не думаю,что кто-то мог бы угнать email ,что-бы 14 лет скрыто читать мою переписку :) большинство "важных" сервисов позволяют просмотреть список последних подключений ,а сайты на которых я регаюсь для того,что бы оставить комментарий раз в 4 года можно не брать в расчёт. А на облаках везде стоит оповещение на телефон о авторизации на сайте + двухфакторная авторизация.

Valentin Pimenov

24.05.16 11:32

Ваше сообщение соотвествует фразе "за 14 лет ни разу не воспользовались угнанными у меня паролями" :)

Nikita K

13.05.16 19:28

Срок действия пароля - это мера не против целенаправленной атаки, а против случайного атакующего. Старый пароль с большой вероятностью где-то скомпртометирован и лежит в стопке вместе с тысячами других учеток. В таком случае важно чтобы пароль не подходил как есть, даже если он изменен глупо -в среднем по больнице станет безопаснее.

Slava Gerchicov

16.05.16 07:49

кэп очевидность проснулся?

Илья Пирогов

07.06.16 16:15

Мне по фиг. Храню все свои сотни паролей в одном текстовом документе, постоянно синхронизирую его с флешнакопителем, чтобы была резервная копия в актуальном состоянии на всякий пожарный. Пользуюсь компом я только один и учетка пользователя ОС заперта паролем. Вариант со взломом машины через сеть маловероятен ибо я "Неуловимый Джо" тут местный и Firewall у меня надежно настроен.

Что вы могли пропустить