Какой длины достаточно? Минимальные пароли на самых популярных сайтах

12 Февраля 11:20
В последнее время я часто делюсь своими мыслями о паролях. Здесь у нас абсолютный краеугольный камень безопасности — парадигма, которую понимает каждый человек с онлайновым аккаунтом — и в то же время мы видим фундаментально разные подходы к этому вопросу со стороны разных сервисов. У некоторых есть строгие правила по сложности паролей. У других небольшая максимальная длина. Некоторые не разрешают копировать из буфера обмена. Другие заставляют регулярно менять пароль. Такая несуразица повсюду.

В прошлом году я писал руководство по аутентификации в современную эпоху и говорил о многих вышеупомянутых требованиях. В частности, я обращал внимание на то, как современные представления противоречат многим традиционным представлениям о правильной работе с паролями. В той статье обильно цитируются руководства от британского центра по кибербезопасности NCSC и американского NIST — и в ней развенчиваются многие из старых мифов. Избавьтесь от правил сложности, разрешите длинные пароли, не запрещайте копировать из буфера обмена и откажитесь от обязательной смены паролей. Однако там нет ничего относительно минимальной длины, и это заставило меня задуматься — какое число будет правильным?

Когда я проводил занятия «Взломай сначала себя», то одним из первых задавал вопрос: «Каково правильное значение минимальной длины пароля?» Я снова думал об этом на этих выходных, во время работы над второй версии сайта Pwned Passwords, потому что подумал, что можно использовать ограничение на минимальную длину, чтобы уменьшить размер набора данных. Вместо того, чтобы проецировать своё мнение по данному вопросу, я решил пойти и проверить, как обстоят дела на крупнейших сайтах. Вот топ-15 с резюме и некоторыми дополнительными комментариями:


ЧИТАТЬ МАТЕРИАЛ

Комментарии: