Хората като цяло мразят компютърните пароли, често лишените от смисъл комбинации от букви, цифри и специални символи, за които се твърди, че са задължителни за цифровата сигурност. Тези тайни кодове изглеждат невъзможни за запомняне. Ето защо и всяка страница за влизане в която и да е услуга има спасителен пояс "Забравена парола?".
Тази мъка дори си има название: "паролен гняв".
За голямо облекчение на компютърните потребители навсякъде, вече се заражда нов стандарт за пароли, подкрепян от все повече компании и правителствени агенции.
Паролите вече не е задължително да се сменят толкова често, или да включват непроизносим низ от специални символи.
Новата тенеденция залага на по-малко ниво на сложност, за сметка на голямата дължина.
Паролите, които някога изглеждаха така: W3bc@F3, днес могат да изглеждат така: mycatlikesreadingarticlesatwebcafe.
Изискването на по-дълги пароли, известни като "фрази-пароли", обикновено от 16 до 64 символа, все по-често се приема за потенциално бягство от болезнения стремеж към защити, които биха допаднали само на професионални криптографи.
Поредица от изследвания от университета "Карнеги Мелън" потвърждава, че фразите-пароли са също така доста сполучлив вариант за онлайн сигурност, защото програмите за хакване се затрудняват от голямата дължина почти толкова, колкото и от случайният набор от символи.
За компютрите поезията или простите изречения сa също толкова трудни за разгадаване. А, което е още по-добре, хората не е толкова вероятно да ги забравят.
"Определено се наблюдават повече такива пароли", казва Мишел Мазурек, един от авторите на изследването на "Карнеги Мелън", която сега работи в университета в Мериленд. "При еднакво ниво на сигурност, по-дългите пароли са по-полезни за хората".
Един от признаците за промяна дойде тази година от федералната агенция на САЩ, отговаряща за правителствената политика по отношение на компютрите. Националният институт по стандартизация и технологии на САЩ (NIST) разпространи препоръки, призоваващи за промяна на политиката за пароли, която насърчава използването на по-дълги пароли и ликвидира практиката за принудителна смяна на паролите на всеки 60 или 90 дни.
"Фразите-пароли са много по-трудни за разбиване и хакване, и много по-лесни за запомняне", коментира Пол Граси, старши съветник на NIST.
Това е недвусмислено признание, че сегашните практики за паролите не работят.
Сегашните пароли са "тотално неизползваеми", казва Граси. "Потребителите ги забравят, което създава всякакъв вид проблеми на киберсигурността, от рода на записването им на листче или многократната им употреба".
Потребността от по-прости пароли нараства с времето, прекарвано онлайн, където трудните за запомняне кодове ограничават достъпа не само да служебни и учебни имейли, но и до пазаруване, игри, застраховки и дори кулинарни рецепти.
Средностатистическият потребител има между 19 и 25 различни онлайн пароли, показват социологически изследвания.
Промяната към по-прости протоколи за сигурност и пароли обаче се случва бавно.
Когато Лори Кренър се присъединява към Федералната комисия по търговия на САЩ като главен технолог през януари, тя е поразена от факта, че шест от "държавните" й пароли идват с автоматичен срок на подмяна. Няколко месеца по-късно, тя е ограничила този списък до четири.
Според Кренър правилата на NIST подават положителен сигнал към агенции и компании, че променените напътствия за паролите имат одобрението на властите.
"Едно от нещата, които наблюдаваме, когато разговаряме с компании, е че те заявяват: "Всичко това е чудесно", но не мога да променя практиките, докато нямам нещо, което да посоча като основен аргумент", коментира тя.
Сега тя и колегите й могат да посочат "специална публикация на NIST 800-63, която все още очаква официално окончателно одобрение.
Ходът на правителството на САЩ бе подкрепен от защитници на личните данни като Кристофър Согоян от Американския съюз за граждански свободи.
"Фактът, че NIST ясно застават зад съвременна, научно базирана политика, е чудесен", коментира Согоян.
Възможно е този път властите да са по-активната страна, работеща по този въпрос.
Гийом Рос, старши консултант във фирмата за компютърна сигурност Rapid7, казва, че бизнесът често е принуден да забавя новите си политики за сигурност, заради старите компютърни системи.
"На тези системи е доста трудно група за сигурност да поддържа дълги пароли", казва Рос.
Все пак Рос съветва клиентите си да се концентрират най-вече върху дължината на паролите, за да подобрят сигурността, вместо да залагат на други стратегии.
Джо Хол, главен технолог в мозъчния тръст "Център за демокрация и технологии", е наблюдавал облекчени правила за пароли сред 800-те различни акаунта, които използва. (Той признава, че е изключение човек да има толкова много акаунти, но според него това е част от служебните му задължения).
В последните години той наблюдава все повече сайтове, позволяващи пароли, дълги над 16 символа. И доста по-малко са тези, които изискват редовни промени на паролите.
"Това е част от голямата стратегия за превръщане на технологиите в нещо по-използваемо за хората", казва Хол.
Подобно на много компютърни експерти, Хол е почитател на фразите-пароли от години.
"Казвам на хората да си измислят изречение, което е шокиращо и непредсказуемо, дори лишено от смисъл", споделя той.
Типичен пример: "The spherical brown fox jumped into the Russian Bundestag" ("Сферичната кафява лисица скочи върху руския парламент").
Негов приятел обича да използва за пароли неща, които го дразнят, като неуместно употребяваната фраза "all intensive purposes".
Естествено, повечето експерти твърдят, че паролите от какъвто и да е вид са отживелица.
Мнозина се опитват да наложат двуфакторна идентификация, където потребителите се налага да потвърждават идентичността си, като въвеждат код, изпратен до имейл адреса или телефонния им номер.
Този стандарт се възприема по-бързо от фразите-пароли.
Междувременно експертите предупреждават да избягвате текстове на популярни песни или поетични строфи във фразите-пароли. С други думи, без Бионсе или Уолъс Стивънс.
Хакерите могат да изтеглят цели библиотеки с информация, за да пробват популярни фрази.
Мазурек съветва да въведете фразата-парола в Google и да видите дали търсачката ще я допълни автоматично - което означава, че тя е твърде разпространена.
Рич Шей, друг от учените от "Карнеги Мелън", казва, че изследванията са започнали от опита на студентите в кампуса: паролите на университетските имейли е трябвало да бъдат дълги 8 символа, като задължително е трябвало да включват една главна буква, една малка буква, специален символ и цифра.
Учените смятат, че трябва да има и по-добър начин. Все пак изследванията показват, че дори и с усложненията за хакерите, породени от фразите-пароли, допълнителни защити като цифра или специален символ, повишават още повече сигурността.
"Няма универсални решения", коментира Шей, който сега работи в Масачузетския технологичен институт. "Няма такова нещо като перфектна парола".
И това е нещо, което всички вече знаят отдавна.
NeprotivoKonstitucionSlovatelStvuvaite.
Моля, въведете вашата парола! - "рози" - недостатъчен брой на символи в паролата - "розови рози" - паролата трябва да съдържа поне една цифра - "1 розова роза" - паролата не трябва да съдържа празни полета - "1розовароза" - паролата трябва да съдържа поне 10 различни символа - "1шибанарозовароза" - паролата трябва да съдържа поне една главна буква - "1ШИБАНАРОЗОВАРОЗА" - паролата трябва да съдържа поне една малка буква - "ШибанаРозоваРоза" - паролата трябва да съдържа поне една цифра - "1розоваРозаДаТияНавравГъза" - тази парола вече е заета
Да, тези неща са достатъчно добре известни, но все пак има добри и удобни начини за запаметяване на подобна парола, а дори и няколко такива пароли. Пример - 9Тrax@384PernUtube. Паролата говори нещо само на вас и е построена по алгоритъм или логика, известни само на вас. Разгадаване няма, а е достатъчно кратка. Припомнянето обаче или самото отгатване ако я забравите ще ви занимае сериозно в случай, че самата технология на генериране също сте я променили . Възможно е също и два или повече способа за автентикация да се комбинират, а също да се "навържат" в система, така че да сте в състояние добре да управлявате отделните профили.
@4