Какое минимальное количество символов должен содержать пароль для входа в ас компании

HTML-код для вставки на сайт

Разрешить комментарии
Автор теста запретил комментарии
Блок Новинок и Популярных тестов

Теперь тесты из блоков новинок и популярных отображаются внутри вашего сайта, что увеличивает просмотры ваших страниц в 5 раз!
Все комментарии после публикации проходят строгую модерацию!

OK

Какой длины достаточно? Минимальные пароли на самых популярных сайтах

В последнее время я часто делюсь своими мыслями о паролях. Здесь у нас абсолютный краеугольный камень безопасности — парадигма, которую понимает каждый человек с онлайновым аккаунтом — и в то же время мы видим фундаментально разные подходы к этому вопросу со стороны разных сервисов. У некоторых есть строгие правила по сложности паролей. У других небольшая максимальная длина. Некоторые не разрешают копировать из буфера обмена. Другие заставляют регулярно менять пароль. Такая несуразица повсюду.

В прошлом году я писал руководство по аутентификации в современную эпоху и говорил о многих вышеупомянутых требованиях. В частности, я обращал внимание на то, как современные представления противоречат многим традиционным представлениям о правильной работе с паролями. В той статье обильно цитируются руководства от британского центра по кибербезопасности NCSC и американского NIST — и в ней развенчиваются многие из старых мифов. Избавьтесь от правил сложности, разрешите длинные пароли, не запрещайте копировать из буфера обмена и откажитесь от обязательной смены паролей. Однако там нет ничего относительно минимальной длины, и это заставило меня задуматься — какое число будет правильным?

Когда я проводил занятия «Взломай сначала себя», то одним из первых задавал вопрос: «Каково правильное значение минимальной длины пароля?» Я снова думал об этом на этих выходных, во время работы над второй версии сайта Pwned Passwords, потому что подумал, что можно использовать ограничение на минимальную длину, чтобы уменьшить размер набора данных. Вместо того, чтобы проецировать своё мнение по данному вопросу, я решил пойти и проверить, как обстоят дела на крупнейших сайтах. Вот топ-15 с резюме и некоторыми дополнительными комментариями:

Google

Facebook

Описание немного вводит в заблуждение. Там написано, что пароль должен быть длиннее, чем 6 символов. На самом деле он должен быть 6 символов или длиннее.

Wikipedia

Удивительно, но у Wikipedia минимальный критерий… вы просто должны указать какой-нибудь символ. Этого достаточно.

Но чёрт побери, это значительный прогресс по сравнению с тем, что было раньше:

«По крайней мере, Википедия отказалась от пустых паролей по причинам безопасности».

Reddit

Yahoo

Не заявляя этого явно, Yahoo требует пароля хотя бы 8 символов, чтобы соответствовать критерию по минимальной длине:

Amazon

Twitter

Microsoft

Instagram

Netflix

Netflix разрешает сверхкороткие пароли всего из 4 сиволов. Возможно, одна из причин в том, чтобы упростить ввод пароля с телевизионного пульта.

LinkedIn

Twitch

Pornhub

Ebay

imgur

Резюме

Выложим все результаты в одной таблице:

Удивлены? Многие люди выберут пароль из 6 символов, потому что он кажется коротким. 9 из 15 сайтов разрешают пароли из 6 символов, 4 сайта требуют минимум 8 символов, а есть ещё Netflix с минимальным ограничением в 4 символа и Wikipedia, ну, давайте не будем упоминать их ограничение… А вот мои мысли по этому поводу:

В каждом случае минимальная длина пароля — это чётное число! По вашему, насколько научно обоснован процесс определения идеальной минимальной длины, если все большие игроки просто приземлились на 4, 6 или 8?

Ни у кого нет 5 или 7, или 9, только красивые, приятные, симметричные чётные числа. Так что вот первый проницательный вывод из наблюдения — здесь определённо не замешана никакая наука.

Но есть кое-что ещё, и я много раз повторял это в статье с руководством по паролям в современную эпоху: аутентификация сегодня — это гораздо, гораздо больше, чем просто сравнение двух строк. Так оно было поначалу — у вас было имя пользователя и пароль, и если оно совпадало с тем, что хранилось в системе, то вас пускали в систему. Но сейчас мы далеко ушли от такого подхода.

Например, у нас двухфакторная аутентификация. Да, ею пользуется пугающе мало людей, но сейчас это доступная технология контроля безопасности на массовом рынке, и у нас есть доступ ко всем видам сервисов, которых не существовало даже пять лет назад. Мы также начинаем лучше понимать поведение пользователей при выборе паролей; в этом весь смысл проекта Pwned Passwords — признать, что люди принимают дерьмовые решения в области безопасности! Давайте выявим их на раннем этапе и поможем людям сделать правильный выбор (т. е. «тебе действительно не следует использовать такой пароль…»).

Затем есть элементы управления, основанные вокруг эвристик других пользователей, например, требование верификации через зарегистрированный адрес электронной почты, если пользователь пытается авторизоваться из необычного места (вы могли видеть, как Facebook раньше делал такое). То же самое при использовании нового браузера — это может привести к снижению доверия, из-за чего требуется дополнительная верификация. На самом деле, вся предпосылка «доверия» становится особенно важной, когда мы уходим от этого бинарного состояния: разрешить или запретить доступ. Попробуйте походить по разным сайтам через Tor — и вам придётся доказывать, что вы человек, потому что, как выяснилось, плохие парни особенно любят использовать инструменты анонимности.

Смысл всего этого в том, что вы больше не можете просто посмотреть на минимальную длину пароля и сказать: «Ай, шесть символов — или даже четыре — это слишком мало», потому что схемы аутентификации могут быть гораздо более продвинутыми, чем просто сравнение двух строчек. Это не значит, что всегда правильно использовать эти красивые чётные числа — есть много сайтов, которые не используют никаких продвинутых средств, а только сравнение строк — но надеюсь, это обеспечит пищу для размышлений.

О, и если вы действительно найдёте сайт с нечётным числом в качестве минимальной длины пароля, то оставьте комментарий ниже, потому что теперь мне уже стало интересно.

В состав пароля пользователя на вход в систему (далее – пароль) могут входить только символы из следующих 4-х групп символов:

Однако системой будут приняты в качестве пароля только комбинации этих букв, цифр и символов, отвечающие ряду дополнительных требований. Состав и уровень требований к паролю различен у
разных пользователей и зависит, в частности, от заданного пользователю уровня стойкости пароля к подбору / взлому: чем выше уровень стойкости пароля, тем сложнее и длиннее должны быть комбинации букв, цифр и символов в пароле.
В системе доступны следующие значения уровня стойкости: "слабый", "низкий", "средний", "высокий",
"очень высокий".

Пользователю уровень стойкости пароля и другие параметры безопасности доступа к системе задаются индивидуально на стороне банка.

В общем случае в состав требований к паролю могут входить следующие требования:

При смене пароля в окне Смена пароля выводится индивидуальный список требований к паролю именно того пользователя, чей пароль меняется. На
рисунках ниже представлены примеры требований к паролям пользователей с уровнями стойкости, соответственно, "очень высокий" и "слабый".

Вы когда-нибудь сталкивались с таким сообщением: «Пароль содержит запрещенные символы»? Такое сообщение появляется в тех случаях, когда при составлении собственного пароля вы вводите символы, которые недопустимы на конкретном ресурсе. Каждый веб-сайт, а вернее, его разработчик вправе самостоятельно определять набор символов, которые неприемлемы при составлении пароля. Это нужно для того, чтобы злоумышленники не атаковали сайт через поле «пароль».

Например, если полностью снять все ограничения, тогда злоумышленник сможет в полях «логин» или «пароль» записать какой-нибудь зловредный скрипт. В этом случае зловред отправится в базу данных и может нанести вред базе данных и всему веб-ресурсу. Кстати, такое ограничение в символах касается и комментариев, поэтому может получиться так, что ваш комментарий также не будет соответствовать требованиям и не будет опубликован.

Пароль содержит запрещенные символы

Все опытные и неопытные пользователи знают, что пароль желательно придумывать максимально надежным. Для этого не рекомендуют использовать в пароле имена, простые слова, даты и др. Лучше всего использовать сложные пароли, которые будут состоять из смеси символов в разном регистре, чисел и и специальных символов. Это рекомендации для пользователей. Однако разработчики ресурсов иногда ставят собственные ограничения для пароля, который может придумать пользователь. Они преследуют цели безопасности и технической реализации. Простым пользователям важно понимать, о чем идет речь, чтобы не встречать сообщение: «Пароль содержит запрещенные символы».

Какие символы нельзя использовать в пароле

Реализация паролей на разных ресурсах разная, то есть разработчики самостоятельно устанавливают правила, какими могут быть пароли на их веб-ресурсах. Например:

1. На одном сайте у вас может быть пароль из 6 символов, а на другом пароль должен быть не короче 8 или 10 символов. 

2. Один сайт поддерживает специальные символы, а другой поддерживает, но не все. 

3. На одном сайте можно составить пароль только из букв, а на другом пароль должен содержать буквы, цифры и специальные символы. 

Несмотря на такие различия требований к паролю у разных ресурсов, можно выделить ряд общих требований к паролю. Запрещенные символы в пароле:

1. Русские буквы. Крайне редко на каких ресурсах можно составить пароль русскими буквами. В основном, если хотите использовать буквы в пароле, это должен быть латинский алфавит. В этом случае меньше шансов совершить ошибку.

2. Специальные символы. Это спорное ограничение, потому что их нужно использовать, чтобы пароль был максимально сложным. Большинство ресурсов поддерживает специальные символы, однако нужно проявлять осторожность к ряду спецсимволов, которые могут быть запрещены. Например: «?», «#», «<», «>», «%», «@», «/». Указанные символы могут быть частью зловредных скриптов, поэтому некоторые разработчики запрещают использовать их в паролях, чтобы не подвергать собственный ресурс атаке.

3. Пустые символы. К пустым символам относятся «пробел» и «табуляция». Для многих пользователей это открытие, однако это тоже специальные символы, которые запрещены в паролях, потому что доставляют много проблем и пользователям, и при анализе пароля. Поэтому нужно запомнить, что «пробел» в пароле недопустим.

4. Совпадения с логином и почтой. Такое ограничение запрещает использовать в качестве пароля совпадение с именем, логином или электронной почтой пользователя. Это ограничение встречается не везде, но довольно часто.

5. Пароль из часто используемых. Такое ограничение встречается достаточно редко, но некоторые ресурсы его внедряют. Суть его сводится к тому, что введенный вами пароль сверяется со списком самых распространенных паролей. Если ваш пароль содержится в списке, тогда его могут отклонить. Подобные списки регулярно публикуются в интернете. Это списки паролей, которые были взломаны на разных сайтах.

Вот и получается, что не все символы можно использовать при составлении пароля. А сообщение: «Пароль содержит запрещенные символы» можно увидеть даже в том случае, если вам кажется, что ваш пароль в полном порядке.

Каким должен быть хороший пароль?

В сети есть много рекомендаций по поводу хорошего пароля. Например:

• не содержать распространенных слов типа «привет», «пароль» и др.;

• содержать буквы разного регистра;

• содержать цифры;

• иметь в своем составе разрешенные спецсимволы;

• быть не короче 8 символов;

• и др.

Каждый представленный совет действительно помогает составить сложный пароль. Но среди всех рекомендаций к паролю хочется выделить один самый главный — это длина пароля. На самом деле,вы должны придумать и запомнить максимально длинный пароль. Когда говорят, что пароль должен быть не короче 6-8 символов, — это хорошо. Однако, если обратиться к статистике взломанных паролей, тогда видно, что на эту длину приходится 65-70% всех взломанных паролей. Это значит, что такие пароли распространены и очень хорошо взламываются. Если взглянуть на статистику длины пароля в 10 символов, тогда можно увидеть цифру в 7% от всех взломанных, а 12 символов — 3%. О чем это говорит? О том, что, чем длинней пароль, тем сложней его подобрать и взломать. 

Если «копнуть» в теорию взломов поглубже, тогда можно выяснить, что каждый дополнительный символ в пароле усложняет процесс взлома в разы. Получается так, что короткий, но сложный по составу пароль будет взломать легче, чем длинный, но более легкий пароль. Хакеру для взлома пароля важна его длина, а не сложность.

Заключение

Хотите больше не получать сообщение: «Пароль содержит запрещенные символы»? Тогда прочитайте чуть выше, почему может возникнуть такая ситуация, и проанализируйте свою собственную. Вполне вероятно, что вы попали в случай, который мы уже описывали.

Хотите, чтобы пароль был максимально надежным? Обратите внимание на его длину. Если возьмете себе правило составлять пароли не короче 10-12 символов с использованием рекомендаций для их усложнения, тогда ваш пароль будет очень сложно взломать.