Лайфхакер
Лайфхакер
Лучшее
Новости
Жизнь
Рецепты
Здоровье
Кино
Технологии
Покупки
Лучшее
Новости
Жизнь
Рецепты
Здоровье
Кино
Технологии
Покупки
Реши за меня
Добрые новости
Стыдные вопросы
Есть мнение
Норм или стрём
Личный опыт
Объясняем за минуту
Сервисы
Технологии
13 мая 2016

Почему частая смена пароля только вредит безопасности

Частую смену пароля называют одним из самых действенных способов защиты информации. Однако не всё так однозначно, как о том твердят. Почему — читайте в нашей статье.
Фото автора Пётр Глухов
Пётр Глухов

Почему частая смена пароля только вредит безопасности

Наверняка вы хотя бы раз получали уведомление по электронной почте, в котором вам рекомендовали сменить пароль. Как правило, такие письма приходят от почтовых сервисов и администраторов корпоративных сетей раз в полгода. И здесь встаёт выбор: следовать совету тех, «кому виднее», и сменить пароль либо проигнорировать требование и оставить всё как есть. В пользу второго говорят спецслужбы Великобритании, в чьи обязанности входит радиоэлектронная разведка и информационная защита армии.

⚡ Новости из мира гаджетов, обзоры, гайды и не только — в телеграм-канале «Технологии | Лайфхакер».

7 мая, по случаю Международного дня пароля, представители одного из подразделений Центра правительственной связи Великобритании (Government Communications Headquarters, GCHQ) выпустили разъяснение, почему не стоит менять пароль слишком часто.

Обычно политика безопасности обязывает нас использовать лишь сложные пароли, которые тяжело подобрать и, соответственно, запомнить. Пароли должны быть максимально длинными и максимально случайными. Управлять парой таких паролей нам вполне по силам, однако, когда счёт идёт на десятки, ситуация приобретает неконтролируемый характер.

Группа безопасности электронных коммуникаций (Communications Electronics Security Group

CESG)

Положение усугубляется тем, что нам не оставляют права и дальше использовать старый пароль даже в том случае, если он отвечает самым высоким требованиям безопасности. В таком случае человек не мудрствует лукаво и поступает не самым благоразумным образом:

  1. Создаёт новый пароль, незначительно модифицируя старый. Нападающие могут эксплуатировать эту брешь. Если они уже знали предыдущий пароль, то, вероятнее всего, им не составит труда подобрать и новый. Более того, зачастую пользователи сами забывают новый пароль, а это влечёт неудобства, потерю времени и производительности.
  2. Ослабляет старую комбинацию. Люди сознательно упрощают свои новые пароли для того, чтобы нормально упаковать их в уме. Под нож попадают верхний регистр, специальные символы и цифры. Разумеется, от этого пользователь лишь проигрывает.
  3. Записывает свой новый пароль на бумагу и оставляет его практически в свободном доступе. Понятное дело, такое поведение напрочь убивает весь смысл процедуры.

«Это парадокс: чем чаще мы вынуждены менять пароли, тем большей уязвимости мы подвержены. На первый взгляд кажется совершенно разумным менять пароли как можно чаще, но практика показывает, что это не так», — заключают эксперты по безопасности.

Конечно, после прочитанного не стоит пренебрегать всеми запросами на смену пароля. Например, нельзя игнорировать крупные утечки данных наподобие той, что случилась в 2013 году c аккаунтами Adobe. В таких случаях придётся придумать новый пароль и, возможно, составить его из эмодзи: говорят, что так ещё безопаснее.


В комментариях к оригинальной статье один из читателей высказал мнение, что правительственные службы специально пускают подобные утки, чтобы усыпить бдительность масс. Расчёт простой: уже взломанные аккаунты не придётся открывать заново (промышленные масштабы как-никак). Кто-то поддержал эту мысль, ну а кто-то посоветовал паникёру принять таблетку от вселенского заговора.

А как вы считаете, стоит ли менять пароль, если он надёжен и нет признаков постороннего доступа к вашему аккаунту?

Источник: Want some security advice? Don’t reset your passwords too often
Если нашли ошибку, выделите текст и нажмите Ctrl + Enter
Это интересно
Как найти подруг во взрослом возрасте? История трёх фанаток кей-попа, которым это удалось

Как найти подруг во взрослом возрасте? История трёх фанаток кей-попа, которым это удалось

6 диких вещей из эпохи медленного интернета начала 2000-х, о которых вспомнят только олды

6 диких вещей из эпохи медленного интернета начала 2000-х, о которых вспомнят только олды

Реклама
Зима за городом: 3 критические ошибки владельцев дач и коттеджей

Зима за городом: 3 критические ошибки владельцев дач и коттеджей

Косметический ремонт за выходные: 6 вещей в квартире, которые можно обновить без грязи и пыли

Косметический ремонт за выходные: 6 вещей в квартире, которые можно обновить без грязи и пыли

Комментарии
Aleksandr Demshin
13.05.16 14:36
А разве менеджеры паролей не спасают в этом вопросе? Я помню наизусть пять паролей, а остальные десятки менеджер паролей хранит.
Илья Иванов
13.05.16 14:48
Если менеджер сломают, потеряешь сразу все) тоже не кошерно получается с точки зрения безопасности
Роман Татаринов
13.05.16 14:52
Ну, к примеру padlock. Как и что можно потерять? Аутентификация по электронной почте, которую тоже нужно узнать, плюс подтверждение по самой почте, плюс пароль. И того знать 2 пароля и одну почту. Как-то многовато. Довольно непросто взломать, если пользователь сам не треплет на право-налево почту.
Илья Иванов
13.05.16 15:09
Базара нет :) потерять сложно, если сам не дурак. Но если будет атака на сам сервис и утечка базы, то там практически вся нужная инфа имеется. Это конечно маловероятно, но всякое бывает. В 2000 году какой-то Вася из Челябинска PayPal сломал и угнал несколько мильонов с кредиток. Казалось бы контора серьезная, за безопасностью следят
Ikar Dedalovich
13.05.16 16:32
Поэтому нельзя доверять всяким ластпасам и аналогам. KeePass + Dropbox или аналогичные решения, в которых ты сам хранишь свою базу, защищенную сложным паролем, и сам ее синхронизируешь. И все проблемы автора статьи решены. Менять пароли можно и нужно. Не пытаясь их помнить.
Илья Иванов
13.05.16 16:39
Возможно нубский вопрос. А если я захочу залогиниться куда-то с чужого компа, мне нужно будет поставить дропбокс и KeePas, ввести пароли к ним и после использования постараться за собой протереть?
Пётр Диденко
13.05.16 16:44
Можно на телефоне посмотреть соотв пароль
Ikar Dedalovich
13.05.16 16:48
Да, версия для телефона в этом случае оптимальный вариант. Кроме того она же позволяет логиниться на телефоне в нужные сервисы.
Илья Иванов
13.05.16 17:25
Ну т.е. проблема с логином на чужом компе все же имеется. Либо пароли должны быть не слишком жуткими, чтобы можно было легко перепечатать с телефона.
Konstantin Yakovlev
13.05.16 18:52
Самые важные можно и выучить.
Илья Иванов
13.05.16 18:56
Неважные можно запросить на почту всегда, не обязательно их помнить или хранить
Konstantin Yakovlev
13.05.16 18:57
Нужно, чтобы и удобство было. На почту обычно только сброс запрашивается. И вообще не нужно логиниться на левых компах.
Илья Иванов
13.05.16 19:08
Это понятно, еще пить и курить не нужно :) но иногда хочется
Ikar Dedalovich
13.05.16 22:55
>Ну т.е. проблема с логином на чужом компе все же имеется. Если часто сидите за чужими компами - носите с собой флешку с портабл-версией хранилки паролей.
admiless
16.05.16 11:38
и как обьяснить кому-то, что тебе жизненно необходимо воткнуть свою флешку в его комп? парадокс: вы заботитесь о безопасности, но при этом бездумно позволите первому встречному запускать программы с флешки на вашем компе?
Ikar Dedalovich
16.05.16 12:13
>как обьяснить кому-то, что тебе жизненно необходимо воткнуть свою флешку в его комп? У меня такой потребности не возникает. Это крайне редкий кейс. Но все равно у вас первое предложение противоречит второму. Во-первых, это я буду вставлять флешку в чужой комп, а не "бездумно позволите первому встречному запускать программы с флешки на вашем компе". Во-вторых, это лишь один из вариантов нелокального доступа к базе, зачем передергивать, обсуждались же и другие (можно хранить портабл версию менеджера паролей вместе с базой где-то в дропбоксе, почте, гуглдрайве, амазоновком инстансе, где угодно, временно скачивать их на чужой комп, пользоваться и удалять; можно пользоваться версией для телефона, который точно всегда при себе) Ну и в третьих, к чему холивар? Храните ваши данные так, как вам удобно, хоть в ластпассе, хоть в уме, хоть на листочке на мониторе. Я свой выбор сделал, живу с ним уже лет 7, ни разу ни одного пароля из 77 штук у меня не увели, но я свой способ никому не навязываю.
Valentin Pimenov
17.05.16 00:59
Прошу прощения, хотел единственно, уточнить формулировку, что под "ни разу ни одного пароля из 77 штук у меня не увели" имелось в виду "не обнаружил признаков того, что увели хотя бы один из 77 паролей".
Andrew meierholz
14.05.16 06:55
Доверять можно, просто есть вероятность, что в случае стороннего взлома того же KeePass, все ваши пароли в расшифрованном виде улетят кому-либо на почту. Либо будет скомпрометирован сам пароль для keePass, а это катастрофа. В любом случае менеджеры паролей это не панацея и ими тоже нужно пользоваться правильно.
Ikar Dedalovich
14.05.16 08:23
Доверять можно? На каком основании? Тот же ластпасс уже взламывали. А менеджер паролей куда надёжнее, если правильно им пользоваться, да. Если вы еще больший параноик, чем я, и опасаетесь, что кто-то взломает сперва дропбокс (ну или чем вы пользуетесь для синхронизации, яндекс.диск, гугл драйв, не суть), а потом смогут взломать файл с вашими паролями, то не пользуйтесь сервисами синхронизации, а храните базу паролей где-то у себя. Скажем, на флешке, или внутри виртуальной машины/контейнера.
Andrew meierholz
14.05.16 08:58
Доверять тому же keepass можно на основании того, что это программа с открытыми исходниками. Плюс шифрует свои базы более криптостойкими алгоритмами, чем тот же 1password. Истории с ластпассом не знаю, но про взлом самой программы я и писал выше - да, это проблема. То что сама база паролей в зашифрованном виде утечет куда-то вообще пофигу - я быстрее сменю все свои пароли, чем кто-то брутфорсом взломает мою базу.
Andrew meierholz
14.05.16 09:02
Кстати я не представляю схему хранения базы паролей в виртуальной машине или на флешке - это мне каждый раз, когда я хочу залогиниться в контакте, надо будет включать виртуальную машину? Ну непрактично же. Храню базу в облаке, потому как более удобного варианта пока не нашел.
Ilya Erlikhman
17.12.19 13:00
А ещё лучше - KeePass на флешке. Ну и копия на паре внешних дисков. А криптоключ от него - на другой флешке. Нет базы в компьютере и в инете - нет риска утечки. Разве что кто-то лично флешку украдёт.
Ilya Erlikhman
17.12.19 13:02
И почему-то никто про двухфакторную авторизацию не вспомнил (например, яндекс.ключ). Тут разве что мобильный могут украсть для взлома. На этот случай существует гугловское приложение "Найти устройство". Оно умеет удалять все приложения с потерянного устройства, если оно в сети.
Konstantin Yakovlev
13.05.16 16:53
А кто заставляет хранить там настоящий пароль? Вы можете составить в уме формулу, по которой вычислять правильный. Тогда в случае утери базы или получения доступа к менеджеру вы не рискуете.
Ikar Dedalovich
13.05.16 16:56
Закономерность в генерации паролей - слабое место. Плохой путь.
Ilya Erlikhman
17.12.19 13:11|изменено
Ну, ум человека тоже может иметь криптографическую стойкость. Или формула может содержать фразу, которую разве что друзья детства ещё помнят
Олег Бервинов
13.05.16 14:41
есть в этом определенные правильные мысли, особенно о "модификации старого пароля". Однако все это из крайности в крайность. Прямо сейчас ваш аккаунт могут брутфорсить и + два спецсимвола, добавят ложку дегтя злоумышленнику (это просто абстрактный пример). И вообще 2016 на дворе, все крупные сервисы уже давно предоставляют функцию двухэтапной аутентификации.
Ikar Dedalovich
13.05.16 16:36
Если второй фактор СМС, то вы просто тешите себя иллюзиями безопасности. Есть куча способов его обойти. Например, временно отключив на стороне мобильного оператора, если новости читаете - в курсе (а спецслужбам еще проще - просто воспользоваться СОРМом, даже ничего отключать не нужно). Или же за недорого сделать себе клон нужной сим-карты. Или украсть телефон жертвы. Или временно незаметно одолжить на время авторизации.
Konstantin Yakovlev
13.05.16 16:43
Если вы считаете, что интересны спецслужбам, то вы либо параноик либо что-то действительно скрываете от них. В любом случае это сильно ограничивает число потенциальных хакеров: простой человек без паспорта не оформит клон симки. А для получения телефона нужно быть рядом с жертвой.
Ikar Dedalovich
13.05.16 16:54
Вы забываете, в какой стране вы живете. Получить клон симки без паспорта - пустяковое дело. Тысяч пять рублей вполне заменят паспорт. Таких историй масса. И да, я параноик. В современном мире это нормальное состояние любого, кто связан с IT и понимает, что и как работает. И кстати, я могу быть интересен спецслужбам только потому, что имею оппозиционные политические взгляды. Если мы говорим о России.
Konstantin Yakovlev
13.05.16 16:58
Мы не обязательно живём в одной и той же стране. В любом случае, это защищает от обычных хакеров. Пользоваться обычными сервисами в тоталитарных странах вообще чревато, наверное.
Ikar Dedalovich
13.05.16 17:12
Да, вы правы. Я по умолчанию считаю, что большинство читателей этого сайта обитают на территории СНГ. Коррупция сильна в каждой из них.
Ilya Erlikhman
17.12.19 18:02
Посмотрите, что такое "Яндекс.Ключ". Он работает не по sms. В момент настройки приложение с сайтом обменивается QR-кодом. Далее оно начинает формировать одноразовые пароли, изменяющиеся каждые полминуты. Причём на сайт уже ничего не передаёт, принцип аналогичен банковским токенам
Радик Ильин
13.05.16 18:46
Что это за бред, я периодически генерирую новые пароли в 1password и меняю на сайте и это еще никогда меня не подводило, а мастеркод состоит из 24 символов. Еще никогда !! Не разу!!! За 14 лет ничего не угнали :D Хорошие советы вы тут даёте!
admiless
16.05.16 11:44
у меня ICQ 6-значный номер, пароль из 8 знаков, его ни разу не угоняли, даже во времена бума на короткие номера ICQ, когда угонялись десятками тысяч. Это ни в коей мере не говорит о надежности пароля, скорей чистое везение
Радик Ильин
21.05.16 01:17
тоже , сменить пароль не могу, так как не помню на какой email регал, но учетки на 2 старые аськи еще живы :)
Valentin Pimenov
17.05.16 01:01
Прошу прощения, а как вы узнали, что ваши пароли не угнали? :)
Радик Ильин
21.05.16 01:24
если бы что-то важное угнали, я бы узнал. Не думаю,что кто-то мог бы угнать email ,что-бы 14 лет скрыто читать мою переписку :) большинство "важных" сервисов позволяют просмотреть список последних подключений ,а сайты на которых я регаюсь для того,что бы оставить комментарий раз в 4 года можно не брать в расчёт. А на облаках везде стоит оповещение на телефон о авторизации на сайте + двухфакторная авторизация.
Valentin Pimenov
24.05.16 11:32
Ваше сообщение соотвествует фразе "за 14 лет ни разу не воспользовались угнанными у меня паролями" :)
Nikita K
13.05.16 19:28
Срок действия пароля - это мера не против целенаправленной атаки, а против случайного атакующего. Старый пароль с большой вероятностью где-то скомпртометирован и лежит в стопке вместе с тысячами других учеток. В таком случае важно чтобы пароль не подходил как есть, даже если он изменен глупо -в среднем по больнице станет безопаснее.
Slava Gerchicov
16.05.16 07:49
кэп очевидность проснулся?
Илья Пирогов
07.06.16 16:15
Мне по фиг. Храню все свои сотни паролей в одном текстовом документе, постоянно синхронизирую его с флешнакопителем, чтобы была резервная копия в актуальном состоянии на всякий пожарный. Пользуюсь компом я только один и учетка пользователя ОС заперта паролем. Вариант со взломом машины через сеть маловероятен ибо я "Неуловимый Джо" тут местный и Firewall у меня надежно настроен.
Что вы могли пропустить
Американский стартап представил первое умное кольцо для измерения артериального давления
Американский стартап представил первое умное кольцо для измерения артериального давления
0
17:10
Новости
Устройства
Энтузиаст оцифровал викторианскую энциклопедию о животных на 40 томов и превратил её в веб-сайт
Энтузиаст оцифровал викторианскую энциклопедию о животных на 40 томов и превратил её в веб-сайт
0
15:43
Новости
Технологии
Приложения VK и мессенджер Мax пропали из Google Play
Приложения VK и мессенджер Мax пропали из Google Play
0
13:42
Android
Новости
Компания OnePlus официально уходит из США и Европы
Компания OnePlus официально уходит из США и Европы
0
12:50
Новости
Технологии
Обзор ноутбука Honor MagicBook 16 2026 — крепкого середнячка в тонком корпусе
Обзор ноутбука Honor MagicBook 16 2026 — крепкого середнячка в тонком корпусе
0
11:00
Устройства
Устройства
Volkswagen представила умные электровелосипеды с камерой заднего вида и предупреждением о слепых зонах
Volkswagen представила умные электровелосипеды с камерой заднего вида и предупреждением о слепых зонах
0
10:26
Новости
Технологии
8 полезных функций «Google Фото», о которых вы могли не знать
8 полезных функций «Google Фото», о которых вы могли не знать
0
10:00
Технологии
Технологии
OpenAI выпустила своё первое устройство, но не для ChatGPT
OpenAI выпустила своё первое устройство, но не для ChatGPT
0
09:10
Новости
Устройства
Xiaomi выпустила потолочную лампу Mijia P1 с вытяжкой и обогревателем
Xiaomi выпустила потолочную лампу Mijia P1 с вытяжкой и обогревателем
0
Вчера
Новости
Устройства
30+ видеоигр из детства, за которыми мы просиживали сутки напролёт
30+ видеоигр из детства, за которыми мы просиживали сутки напролёт
0
Вчера
Технологии
Технологии
OpenAI готовит умную колонку с ChatGPT и может анонсировать её уже в этом году
OpenAI готовит умную колонку с ChatGPT и может анонсировать её уже в этом году
0
Вчера
Новости
Устройства
В Сеть слили рендеры трёх раскладушек Samsung, которые представят 22 июля
В Сеть слили рендеры трёх раскладушек Samsung, которые представят 22 июля
0
Вчера
Новости
Устройства
Треснувшее лицо и метеор: в Unicode показали 9 новых эмодзи
Треснувшее лицо и метеор: в Unicode показали 9 новых эмодзи
0
Вчера
Новости
Технологии
Надо брать: беспроводной пылесос TROUVER G70 Detect с роботизированной щёткой
Надо брать: беспроводной пылесос TROUVER G70 Detect с роботизированной щёткой
0
Вчера
Устройства
Устройства
12 лучших приложений для велосипедистов в 2026 году
12 лучших приложений для велосипедистов в 2026 году
0
Вчера
Ликбез
Технологии

Новые комментарии

Аватар автора комментария
Александр54 минуты назад

0 / 0

У моей жены очень сильно выпадают волосы, после укладки феном на полу всегда куча волос. С роботом-пылесосом Neatsvor стало намного легче: волосы почти не наматываются на щётку, да и контейнер чистить удобно.
Заклеить зеркала и протирать базу спиртом: 17 полезных советов для владельцев роботов-пылесосов
Аватар автора комментария
Александр56 минут назад

0 / 0

У мойщика окон Neatsvor хорошая навигация: большие окна очищает быстро и аккуратно, причём не только середину, но и углы с краями возле рам тоже нормально проходит.
Дешевле 3 000 рублей стоит хороший мойщик окон прямо сейчас на AliExpress
Аватар автора комментария
Александр57 минут назад

0 / 0

Раньше друзья посоветовали попробовать мойщик окон Neatsvor, и по факту он реально оказался очень удобным. У нас высокий этаж, мыть окна вручную неудобно и страшновато, а теперь окна всегда чистые, и даже вид из квартиры кажется намного приятнее.
Робот — мойщик окон с распылителем от Kitfort отдают со скидкой 46%
Аватар автора комментария
Мила Цимбал1 час назад

0 / 0

Ну не то чтобы совершенно другая. Официально же это обновлённая версия первых GTS 4 Mini, выпущенных в 2022 году, хотя по характеристикам это, скорее, преемник Amazfit GTS 3. На скрине видно, что даже на сайте Amazfit нет приписки New. И во многих магазинах часы продают как просто Amazfit GTS 4 Mini. Но мы добавили для точности, спасибо!
Недорогие умные часы Amazfit GTS 4 Mini New с кучей полезных функций
ТЕСТ: Какой вы путешественник? 

ТЕСТ: Какой вы путешественник? 

Лайфхакер
Информация
О проектеРубрикиРекламаРедакцияВакансииО компании
Подписка
TelegramВКонтактеTwitter (X)PinterestYouTubeИнициалRSS
Правила
Пользовательское соглашениеПолитика обработки персональных данныхПравила применения рекомендательных технологийПравила сообществаСогласие на обработку персональных данныхСогласие для рекламных рассылокСогласие для информационной программы
18+Копирование материалов запрещено.
Издание может получать комиссию от покупки товаров, представленных в публикациях