Почему сложные пароли и их частая замена ведут к снижению защиты

Чтобы защитить важные персональные данные, пароли должны быть сложными и отвечать множеству требований. Но насколько удобно хранить в голове или в блокноте все эти наборы цифр, сочетаний и букв, особенно, если сайты требуют менять их не реже 1 раза в месяц?

Именно этим вопросом и задались специалисты компании Google, которые провели опросы пользователей в Великобритании и вынесли на рассмотрение мирового сообщества полученные результаты.

Что больше всего раздражает британцев

По результатам проведенного опроса, специалисты Google выяснили, что жителей Великобритании очень раздражает фраза «Ваш пароль не соответствует требованиям надежности. Пожалуйста, измените его!», которая может появиться при регистрации на каком-либо сайте. Зачастую это не зависит от того, связан ли сайт с персональными данными (например, сайт банка или медицинского центра), или он не хранит никакой важной информации о пользователе (например, сайт новостной рассылки).

На втором месте в рейтинге самых раздражающих явлений стоит блокирование онлайн-аккаунтов, а почетное первое место занимает такая обыденная вещь, как потеря ключей от дома.

Абсолютное большинство сайтов устанавливают весьма высокие требования к надежности кода:

  • длина не менее 8-10 символов, лучше — 16 и больше;
  • сочетание символов: должны присутствовать буквы, цифры, знаки, разные регистры;
  • периодичность изменения — не реже 1 раза в месяц с условием, чтобы новое сочетание не повторяло ни одно из предыдущих;
  • уникальность кода для каждой учетной записи.

По мнению британцев, хранить постоянно изменяющиеся пароли в более-менее удобном и доступном виде просто невозможно.

Как относятся англичане к паролям

Согласно проведенному исследованию:

  • 80% опрошенных британцев отрицательно относятся к паролям;
  • 75% надеются, что эта система вскоре «устареет» и будет заменена чем-то более удобным и надежным;
  • 43% используют одно и то же сочетание символов более 5 лет;
  • 25% записывают свои коды в блокнотах;
  • 20% в течение последнего года вообще не размышляли о необходимости смены паролей.

В 2018 году наиболее угадываемыми сочетаниями были qwerty и 12345, которые использовались миллионами людей.

При этом исследование показало, что хотя британцы и не желают запоминать множество паролей, но готовы использовать современные технологии, помогающие защитить данные. Так, более 50% опрошенных заявили, что знакомы с некоторыми инструментами управления паролями, а 37% даже ими пользуются.

По мнению Google, именно создание и продвижение систем управления паролями может гарантировать британцам большую безопасность в Интернете.

И многие ИТ-компании Великобритании уже развивают это направление.

Так, компания Microsoft заявила о создании сайта, на котором можно проверить безопасность адреса электронной почты и установленного пароля. Почта проверяется на предмет утечки информации, а пароль — на его наличие в списке известных взломанных паролей. При этом сайт не сохраняет введенные пользователями значения (сведения должным образом шифруются), то есть утечка данных с самого сайта невозможна.

Также для повышения онлайн-безопасности Microsoft советует пользователям:

  • использовать менеджер паролей (например, 1Password) для создания уникальных сочетаний символов и их сохранения;
  • всегда включать двухфакторную идентификацию;
  • быть в курсе любых нарушений интернет-безопасности, о которых говорят в СМИ или пишут на сайтах известных интернет-компаний.

Поддерживаемая правительством Великобритании служба Get Safe Online тоже настоятельно рекомендует жителям страны не пренебрегать необходимой защитой данных и создавать уникальные коды для каждой учетной записи. При этом компания предлагает различные способы их запоминания, такие как:

  • взять три случайных слова, добавить между ними цифры и знаки препинания;
  • использовать технику акростихов: составлять код из первых букв и цифр какой-либо запоминающейся фразы;
  • не применять в сочетаниях личную информацию, которая широко известна или легкодоступна: имя, фамилию, дату рождения и т. п.

Чем опасна необходимость использования и замены пароля

Изучив результаты исследования, представители Google предположили, что раздражение человека, вызванное тем, что удобный для него пароль признается системой как «ненадежный», может привести к неправильным действиям, связанным с защитой кода, в частности:

  • человек может придумать и запомнить одно «сложное» сочетание символов и использовать его во всех учетных записях на всех сайтах, что сильно снижает интернет-безопасность, поскольку, узнав только одну комбинацию, мошенники смогут получить доступ ко всем данным пользователя, размещенным в интернете;
  • чтобы не забыть новую комбинацию при очередной смене пароля, пользователь может сознательно «упрощать» сочетание символов (например, добавлять последовательные цифры: 1, 2 и т. д.), и принцип такого «упрощения» довольно легко вычисляется, а значит — данный подход также не обеспечит достаточного уровня безопасности.

То есть стремление защитить пароль путем усиления требований к его сложности и периодичности изменения ведет к совершенно обратному — к попыткам пользователя снизить его безопасность и тем самым упростить себе жизнь.

Скорее всего, результаты исследования применимы к интернет-пользователям всех стран, в том числе и к россиянам. И действительно — требование системы «усилить» пароль, введенный в очередном интернет-магазине, не может не раздражать. А значит, и нам стоит подумать о замене существующего сложного и неэффективного порядка «усиления надежности пароля» на более простые, удобные и безопасные способы. Желательно, конечно, делать это на уровне компаний-разработчиков ПО, но для начала можно воспользоваться и приведенными выше рекомендациями, данными представителями британских ИТ-компаний.

Добавить комментарий

Ваш адрес email не будет опубликован.