Основатель популярного сервиса вопросов и ответов по программированию Stack Overflow Джефф Этвуд (Jeff Atwood) опубликовал любопытную статью, в которой раскритиковал политику парольной защиты, используемую разработчиками.
Текущий формат правил парольной защиты, который предполагает использование букв, цифр и специальных символов, не совсем надежен. Фактически, подобные правила контрпродуктивны, считает Этвуд.
«Серьезно […] прекратите уже эту чепуху о произвольных паролях. Если не верите мне на слово, почитайте рекомендации NIST от 2016 года. Там четко сказано: "никаких правил композиции"», — заявил эксперт.
Еще одна ключевая проблема заключается в длине пароля, утверждает Этвуд. В частности надежный пароль должен состоять из 10 или более символов и разработчики должны обеспечить соблюдение этого правила.
«На сегодняшний день, учитывая состояния сферы облачных вычислений и случаи взломов хэшей паролей с помощью GPU, использовать пароль из 8 или менее символов — практически то же самое, что не использовать его вообще», — говорит основатель Stack Overflow.
Этвуд также призвал разработчиков усилить защиту от так называемых атак «по словарю». По его данным, порядка 30% пользователей устанавливают пароли, которые находятся в верхних строчках используемых злоумышленниками списков паролей.
В свою очередь, руководитель отдела информационной безопасности и конфиденциальности Google Хэзер Эдкинс (Heather Adkins) считает, что пароль — уже прошедший этап, а для защиты данных должна применяться двухфакторная аутентификация.

Источник: securitylab.ru