Вряд ли кто-то будет оспаривать необходимость паролей для защиты учётных записей в Интернете и на ПК. Но сделать это можно по-разному. Пароль может быть коротким, из невообразимых комбинаций букв, цифр и символов, а может быть длинным и состоящим из простых слов. Как считает ФБР, второй способ представляется наилучшим выбором.
На этой неделе офис ФБР в Портленде распространил рекомендации пользоваться длинными парольными фразами из простых слов вместо коротких и сложных паролей. Рекомендации были сформированы в рамках технических консультаций. Короткий пароль, состоящий из букв в разных регистрах, цифр и специальных символов большинству пользователей крайне сложно запомнить. Парольная фраза из простых слов, напротив, легко запоминается человеком за счёт ассоциативного мышления.
Национальный институт стандартов и технологий США (NIST) выпустил похожие рекомендации ещё в 2017 году. Согласно этим рекомендациям, на сайтах необходимо было размещать поля для паролей длиной до 64 символов. Пользователям же рекомендовалось использовать парольные фразы вместо сложных паролей. Аналогичную рекомендацию в ноябре 2019 года в советы по безопасности включило Министерство национальной (внутренней) безопасности США (DHS).
В рекомендации ФБР предлагается использовать несколько простых слов в цепочке длиной не менее 15 символов. «Дополнительная длина парольной фразы усложняет взлом, а также облегчает запоминание». На взлом парольных фраз даже из простых слов потребуется гораздо больше времени, чем на взлом предельно сложного по конструкции, но короткого пароля. Это подтверждают также академические исследования, результаты которых были обнародованы в 2015 году: «эффект увеличения длины превосходит эффект расширения алфавита [добавление сложности]».
На тему парольных фраз лет семь-восемь назад появился комикс XKCD. Позже даже был открыт сайт для генерации парольных фраз в стиле этого комикса. Кроме того, существуют библиотеки с открытым кодом, которые могут наделить службы и приложения функцией автоматической генерации парольных фраз. Но всё это не имеет смысла, если пользователи сознательно не начнут использовать парольные фразы вместо коротких сложных паролей или, что тоже себя не изжило, комбинаций «12345».