Про пароли

Автор: Armen

Анализ степени безопасности паролей «массового пользователя»:
Пароли пользователей «в контакте»

Пароли пользователей фейсбука

Общая мысль: значительная часть (десятки процентов) паролей пользователей небезопасны, т.е. могут быть взломаны за минуты практически без использования специальных средств и навыков. Дальше, правда, в вывод, что надо обучать пользователей делать пароли более безопасными, на аппаратном уровне небезопасные пароли не допускать и т.п.

Мы думаем совершенно по-другому – надо работать над тем, как вообще отказаться от использования паролей.

На начальном этапе данного метода защиты «пользователю» надо было запомнить один словестный пароль (ну два при наличии отзыва), что технически несложно и, с учетом сложностей «взлома» давало достаточную защиту. На данный момент пользователь зарегистрирован на десятках различных ресурсов и никакой нормальный мозг столько цифро-буквенной информации запомнить неспособен. В итоге ситуация эволюционировала до трех вариантов «паролей для людей»:
1. Один сложный пароль для всех ресурсов.
2. Множество простых паролей
3. Различные пароли, но сохраняемые на внешнем носителе.

Очевидно, что все эти варианты с точки зрения безопасности информации ущербны.

Правильный подход – выделение информации, которая, на самом деле, имеет какую-то ценность. Это доступ к управлению финансовыми активами, коммерческая тайна и некий круг конфиденциальных личных сведений. Конфиденциальные личные данные (фотки в голом виде), по-хорошему вообще не надо хранить в интернете, управление финансами можно сконцентрировать в одном банке (пароль №1), коммерческие данные в КИС (пароль №2).

Все остальные взаимоотношения пользователя и информационных ресурсов должны быть построены на других принципах распределения прав доступа.