Лайфхакер
Технологии

Почему частая смена пароля только вредит безопасности

Частую смену пароля называют одним из самых действенных способов защиты информации. Однако не всё так однозначно, как о том твердят. Почему — читайте в нашей статье.
Фото автора Пётр Глухов
Пётр Глухов

Почему частая смена пароля только вредит безопасности

Наверняка вы хотя бы раз получали уведомление по электронной почте, в котором вам рекомендовали сменить пароль. Как правило, такие письма приходят от почтовых сервисов и администраторов корпоративных сетей раз в полгода. И здесь встаёт выбор: следовать совету тех, «кому виднее», и сменить пароль либо проигнорировать требование и оставить всё как есть. В пользу второго говорят спецслужбы Великобритании, в чьи обязанности входит радиоэлектронная разведка и информационная защита армии.

7 мая, по случаю Международного дня пароля, представители одного из подразделений Центра правительственной связи Великобритании (Government Communications Headquarters, GCHQ) выпустили разъяснение, почему не стоит менять пароль слишком часто.

Обычно политика безопасности обязывает нас использовать лишь сложные пароли, которые тяжело подобрать и, соответственно, запомнить. Пароли должны быть максимально длинными и максимально случайными. Управлять парой таких паролей нам вполне по силам, однако, когда счёт идёт на десятки, ситуация приобретает неконтролируемый характер.

Группа безопасности электронных коммуникаций (Communications Electronics Security Group

CESG)

Положение усугубляется тем, что нам не оставляют права и дальше использовать старый пароль даже в том случае, если он отвечает самым высоким требованиям безопасности. В таком случае человек не мудрствует лукаво и поступает не самым благоразумным образом:

  1. Создаёт новый пароль, незначительно модифицируя старый. Нападающие могут эксплуатировать эту брешь. Если они уже знали предыдущий пароль, то, вероятнее всего, им не составит труда подобрать и новый. Более того, зачастую пользователи сами забывают новый пароль, а это влечёт неудобства, потерю времени и производительности.
  2. Ослабляет старую комбинацию. Люди сознательно упрощают свои новые пароли для того, чтобы нормально упаковать их в уме. Под нож попадают верхний регистр, специальные символы и цифры. Разумеется, от этого пользователь лишь проигрывает.
  3. Записывает свой новый пароль на бумагу и оставляет его практически в свободном доступе. Понятное дело, такое поведение напрочь убивает весь смысл процедуры.

«Это парадокс: чем чаще мы вынуждены менять пароли, тем большей уязвимости мы подвержены. На первый взгляд кажется совершенно разумным менять пароли как можно чаще, но практика показывает, что это не так», — заключают эксперты по безопасности.

Конечно, после прочитанного не стоит пренебрегать всеми запросами на смену пароля. Например, нельзя игнорировать крупные утечки данных наподобие той, что случилась в 2013 году c аккаунтами Adobe. В таких случаях придётся придумать новый пароль и, возможно, составить его из эмодзи: говорят, что так ещё безопаснее.

В комментариях к оригинальной статье один из читателей высказал мнение, что правительственные службы специально пускают подобные утки, чтобы усыпить бдительность масс. Расчёт простой: уже взломанные аккаунты не придётся открывать заново (промышленные масштабы как-никак). Кто-то поддержал эту мысль, ну а кто-то посоветовал паникёру принять таблетку от вселенского заговора.

А как вы считаете, стоит ли менять пароль, если он надёжен и нет признаков постороннего доступа к вашему аккаунту?

Лучшие предложения

Оперативная память от CUSU

Популярную DDR4-оперативку на 16 ГБ отдают со скидкой 67% на AliExpress

Магазины, которые продлили скидки после большой распродажи на AliExpress

Магазины, которые продлили скидки после большой распродажи на AliExpress

10 предметов для небольших, но заметных изменений в интерьере

10 предметов для небольших, но заметных изменений в интерьере

Игровой монитор от Bloody

Надо брать: недорогой игровой монитор с высокой герцовкой от Bloody

15 товаров, чтобы с комфортом проводить время на даче

15 товаров, чтобы с комфортом проводить время на даче

Забираем очаровательные кеды из коллаборации SELA и «Союзмультфильма»

Забираем очаровательные кеды из коллаборации SELA и «Союзмультфильма»

Кроссовки Li-Ning Soft Go 3

Надо брать: кроссовки от Li-Ning для тех, кто проводит весь день на ногах

15 товаров с распродажи AliExpress для тех, кто хочет заскочить в последний вагон

15 товаров с распродажи AliExpress для тех, кто хочет заскочить в последний вагон

Это интересно
«Горящая изба» и TRENDY BOX выпустили бьюти-бокс «Сияй!» — и это очень красивый набор косметики

«Горящая изба» и TRENDY BOX выпустили бьюти-бокс «Сияй!» — и это очень красивый набор косметики

Как женщины-учёные выводят науку за пределы лабораторий: 3 идеи, которые двигают прогресс

Как женщины-учёные выводят науку за пределы лабораторий: 3 идеи, которые двигают прогресс

Как найти покупателей без помощи социальных сетей

Как найти покупателей без помощи социальных сетей

Где отдохнуть от городской суеты: 5 национальных парков России для весеннего отпуска

Где отдохнуть от городской суеты: 5 национальных парков России для весеннего отпуска

Комментарии
Aleksandr Demshin
А разве менеджеры паролей не спасают в этом вопросе? Я помню наизусть пять паролей, а остальные десятки менеджер паролей хранит.
Илья Иванов
Если менеджер сломают, потеряешь сразу все) тоже не кошерно получается с точки зрения безопасности
Роман Татаринов
Ну, к примеру padlock. Как и что можно потерять? Аутентификация по электронной почте, которую тоже нужно узнать, плюс подтверждение по самой почте, плюс пароль. И того знать 2 пароля и одну почту. Как-то многовато. Довольно непросто взломать, если пользователь сам не треплет на право-налево почту.
Илья Иванов
Базара нет :) потерять сложно, если сам не дурак. Но если будет атака на сам сервис и утечка базы, то там практически вся нужная инфа имеется. Это конечно маловероятно, но всякое бывает. В 2000 году какой-то Вася из Челябинска PayPal сломал и угнал несколько мильонов с кредиток. Казалось бы контора серьезная, за безопасностью следят
Ikar Dedalovich
Поэтому нельзя доверять всяким ластпасам и аналогам. KeePass + Dropbox или аналогичные решения, в которых ты сам хранишь свою базу, защищенную сложным паролем, и сам ее синхронизируешь. И все проблемы автора статьи решены. Менять пароли можно и нужно. Не пытаясь их помнить.
Илья Иванов
Возможно нубский вопрос. А если я захочу залогиниться куда-то с чужого компа, мне нужно будет поставить дропбокс и KeePas, ввести пароли к ним и после использования постараться за собой протереть?
Пётр Диденко
Можно на телефоне посмотреть соотв пароль
Ikar Dedalovich
Да, версия для телефона в этом случае оптимальный вариант. Кроме того она же позволяет логиниться на телефоне в нужные сервисы.
Илья Иванов
Ну т.е. проблема с логином на чужом компе все же имеется. Либо пароли должны быть не слишком жуткими, чтобы можно было легко перепечатать с телефона.
Konstantin Yakovlev
Самые важные можно и выучить.
Илья Иванов
Неважные можно запросить на почту всегда, не обязательно их помнить или хранить
Konstantin Yakovlev
Нужно, чтобы и удобство было. На почту обычно только сброс запрашивается. И вообще не нужно логиниться на левых компах.
Илья Иванов
Это понятно, еще пить и курить не нужно :) но иногда хочется
Ikar Dedalovich
>Ну т.е. проблема с логином на чужом компе все же имеется. Если часто сидите за чужими компами - носите с собой флешку с портабл-версией хранилки паролей.
admiless
и как обьяснить кому-то, что тебе жизненно необходимо воткнуть свою флешку в его комп? парадокс: вы заботитесь о безопасности, но при этом бездумно позволите первому встречному запускать программы с флешки на вашем компе?
Ikar Dedalovich
>как обьяснить кому-то, что тебе жизненно необходимо воткнуть свою флешку в его комп? У меня такой потребности не возникает. Это крайне редкий кейс. Но все равно у вас первое предложение противоречит второму. Во-первых, это я буду вставлять флешку в чужой комп, а не "бездумно позволите первому встречному запускать программы с флешки на вашем компе". Во-вторых, это лишь один из вариантов нелокального доступа к базе, зачем передергивать, обсуждались же и другие (можно хранить портабл версию менеджера паролей вместе с базой где-то в дропбоксе, почте, гуглдрайве, амазоновком инстансе, где угодно, временно скачивать их на чужой комп, пользоваться и удалять; можно пользоваться версией для телефона, который точно всегда при себе) Ну и в третьих, к чему холивар? Храните ваши данные так, как вам удобно, хоть в ластпассе, хоть в уме, хоть на листочке на мониторе. Я свой выбор сделал, живу с ним уже лет 7, ни разу ни одного пароля из 77 штук у меня не увели, но я свой способ никому не навязываю.
Valentin Pimenov
Прошу прощения, хотел единственно, уточнить формулировку, что под "ни разу ни одного пароля из 77 штук у меня не увели" имелось в виду "не обнаружил признаков того, что увели хотя бы один из 77 паролей".
Andrew meierholz
Доверять можно, просто есть вероятность, что в случае стороннего взлома того же KeePass, все ваши пароли в расшифрованном виде улетят кому-либо на почту. Либо будет скомпрометирован сам пароль для keePass, а это катастрофа. В любом случае менеджеры паролей это не панацея и ими тоже нужно пользоваться правильно.
Ikar Dedalovich
Доверять можно? На каком основании? Тот же ластпасс уже взламывали. А менеджер паролей куда надёжнее, если правильно им пользоваться, да. Если вы еще больший параноик, чем я, и опасаетесь, что кто-то взломает сперва дропбокс (ну или чем вы пользуетесь для синхронизации, яндекс.диск, гугл драйв, не суть), а потом смогут взломать файл с вашими паролями, то не пользуйтесь сервисами синхронизации, а храните базу паролей где-то у себя. Скажем, на флешке, или внутри виртуальной машины/контейнера.
Andrew meierholz
Доверять тому же keepass можно на основании того, что это программа с открытыми исходниками. Плюс шифрует свои базы более криптостойкими алгоритмами, чем тот же 1password. Истории с ластпассом не знаю, но про взлом самой программы я и писал выше - да, это проблема. То что сама база паролей в зашифрованном виде утечет куда-то вообще пофигу - я быстрее сменю все свои пароли, чем кто-то брутфорсом взломает мою базу.
Andrew meierholz
Кстати я не представляю схему хранения базы паролей в виртуальной машине или на флешке - это мне каждый раз, когда я хочу залогиниться в контакте, надо будет включать виртуальную машину? Ну непрактично же. Храню базу в облаке, потому как более удобного варианта пока не нашел.
Ilya Erlikhman
А ещё лучше - KeePass на флешке. Ну и копия на паре внешних дисков. А криптоключ от него - на другой флешке. Нет базы в компьютере и в инете - нет риска утечки. Разве что кто-то лично флешку украдёт.
Ilya Erlikhman
И почему-то никто про двухфакторную авторизацию не вспомнил (например, яндекс.ключ). Тут разве что мобильный могут украсть для взлома. На этот случай существует гугловское приложение "Найти устройство". Оно умеет удалять все приложения с потерянного устройства, если оно в сети.
Konstantin Yakovlev
А кто заставляет хранить там настоящий пароль? Вы можете составить в уме формулу, по которой вычислять правильный. Тогда в случае утери базы или получения доступа к менеджеру вы не рискуете.
Ikar Dedalovich
Закономерность в генерации паролей - слабое место. Плохой путь.
Ilya Erlikhman
|изменено
Ну, ум человека тоже может иметь криптографическую стойкость. Или формула может содержать фразу, которую разве что друзья детства ещё помнят
Олег Бервинов
есть в этом определенные правильные мысли, особенно о "модификации старого пароля". Однако все это из крайности в крайность. Прямо сейчас ваш аккаунт могут брутфорсить и + два спецсимвола, добавят ложку дегтя злоумышленнику (это просто абстрактный пример). И вообще 2016 на дворе, все крупные сервисы уже давно предоставляют функцию двухэтапной аутентификации.
Ikar Dedalovich
Если второй фактор СМС, то вы просто тешите себя иллюзиями безопасности. Есть куча способов его обойти. Например, временно отключив на стороне мобильного оператора, если новости читаете - в курсе (а спецслужбам еще проще - просто воспользоваться СОРМом, даже ничего отключать не нужно). Или же за недорого сделать себе клон нужной сим-карты. Или украсть телефон жертвы. Или временно незаметно одолжить на время авторизации.
Konstantin Yakovlev
Если вы считаете, что интересны спецслужбам, то вы либо параноик либо что-то действительно скрываете от них. В любом случае это сильно ограничивает число потенциальных хакеров: простой человек без паспорта не оформит клон симки. А для получения телефона нужно быть рядом с жертвой.
Ikar Dedalovich
Вы забываете, в какой стране вы живете. Получить клон симки без паспорта - пустяковое дело. Тысяч пять рублей вполне заменят паспорт. Таких историй масса. И да, я параноик. В современном мире это нормальное состояние любого, кто связан с IT и понимает, что и как работает. И кстати, я могу быть интересен спецслужбам только потому, что имею оппозиционные политические взгляды. Если мы говорим о России.
Konstantin Yakovlev
Мы не обязательно живём в одной и той же стране. В любом случае, это защищает от обычных хакеров. Пользоваться обычными сервисами в тоталитарных странах вообще чревато, наверное.
Ikar Dedalovich
Да, вы правы. Я по умолчанию считаю, что большинство читателей этого сайта обитают на территории СНГ. Коррупция сильна в каждой из них.
Ilya Erlikhman
Посмотрите, что такое "Яндекс.Ключ". Он работает не по sms. В момент настройки приложение с сайтом обменивается QR-кодом. Далее оно начинает формировать одноразовые пароли, изменяющиеся каждые полминуты. Причём на сайт уже ничего не передаёт, принцип аналогичен банковским токенам
Радик Ильин
Что это за бред, я периодически генерирую новые пароли в 1password и меняю на сайте и это еще никогда меня не подводило, а мастеркод состоит из 24 символов. Еще никогда !! Не разу!!! За 14 лет ничего не угнали :D Хорошие советы вы тут даёте!
admiless
у меня ICQ 6-значный номер, пароль из 8 знаков, его ни разу не угоняли, даже во времена бума на короткие номера ICQ, когда угонялись десятками тысяч. Это ни в коей мере не говорит о надежности пароля, скорей чистое везение
Радик Ильин
тоже , сменить пароль не могу, так как не помню на какой email регал, но учетки на 2 старые аськи еще живы :)
Valentin Pimenov
Прошу прощения, а как вы узнали, что ваши пароли не угнали? :)
Радик Ильин
если бы что-то важное угнали, я бы узнал. Не думаю,что кто-то мог бы угнать email ,что-бы 14 лет скрыто читать мою переписку :) большинство "важных" сервисов позволяют просмотреть список последних подключений ,а сайты на которых я регаюсь для того,что бы оставить комментарий раз в 4 года можно не брать в расчёт. А на облаках везде стоит оповещение на телефон о авторизации на сайте + двухфакторная авторизация.
Valentin Pimenov
Ваше сообщение соотвествует фразе "за 14 лет ни разу не воспользовались угнанными у меня паролями" :)
Nikita K
Срок действия пароля - это мера не против целенаправленной атаки, а против случайного атакующего. Старый пароль с большой вероятностью где-то скомпртометирован и лежит в стопке вместе с тысячами других учеток. В таком случае важно чтобы пароль не подходил как есть, даже если он изменен глупо -в среднем по больнице станет безопаснее.
Slava Gerchicov
кэп очевидность проснулся?
Илья Пирогов
Мне по фиг. Храню все свои сотни паролей в одном текстовом документе, постоянно синхронизирую его с флешнакопителем, чтобы была резервная копия в актуальном состоянии на всякий пожарный. Пользуюсь компом я только один и учетка пользователя ОС заперта паролем. Вариант со взломом машины через сеть маловероятен ибо я "Неуловимый Джо" тут местный и Firewall у меня надежно настроен.
Что вы могли пропустить
8 новых игр для Android и iOS: лучшее за март
8 новых игр для Android и iOS: лучшее за март
0
Технологии
Технологии
В Японии создали приложение, которое переводит плач младенцев на понятный язык
В Японии создали приложение, которое переводит плач младенцев на понятный язык
0
Новости
Технологии
Sony повысит цены на PlayStation 5 и PlayStation Portal по всему миру
Sony повысит цены на PlayStation 5 и PlayStation Portal по всему миру
0
Новости
Устройства
Windows против macOS: в Omnissa сравнили скорость, сбои и срок службы двух ОС
Windows против macOS: в Omnissa сравнили скорость, сбои и срок службы двух ОС
0
Windows
Новости
В пару кликов: как включить общий буфер обмена между Windows 11 и Android
В пару кликов: как включить общий буфер обмена между Windows 11 и Android
0
Технологии
Технологии
12 лучших аэрогрилей для дома в 2026 году
12 лучших аэрогрилей для дома в 2026 году
0
Ликбез
Технологии
Вертикальные вкладки в Chrome теперь доступны всем пользователям
Вертикальные вкладки в Chrome теперь доступны всем пользователям
0
Браузеры
Новости
Microsoft может вернуть установку Windows без интернета
Microsoft может вернуть установку Windows без интернета
0
Windows
Новости
Изобретатель попытался создать ховерборд из «Назад в будущее», а получилась «парящая» доска
Изобретатель попытался создать ховерборд из «Назад в будущее», а получилась «парящая» доска
0
Новости
Технологии
Heir размером с монету превращает обычные часы в умные
Heir размером с монету превращает обычные часы в умные
0
Новости
Устройства
Как запустить мессенджер Max в изолированной среде — без доступа к данным на смартфоне
Как запустить мессенджер Max в изолированной среде — без доступа к данным на смартфоне
0
Технологии
Технологии
Назад к BlackBerry: анонсирован смартфон Unihertz Titan 2 Elite с клавиатурой и большим экраном
Назад к BlackBerry: анонсирован смартфон Unihertz Titan 2 Elite с клавиатурой и большим экраном
0
Новости
Устройства
Как пользоваться KakaoTalk — корейским мессенджером из топа App Store и Google Play
Как пользоваться KakaoTalk — корейским мессенджером из топа App Store и Google Play
0
Ликбез
Технологии
OpenAI отказалась от генератора видео Sora — миллиардной сделки с Disney не будет
OpenAI отказалась от генератора видео Sora — миллиардной сделки с Disney не будет
0
Новости
Технологии
Всё в шести кнопках: представлена клавиатура MiraBox K1W с клавишами‑экранами
Всё в шести кнопках: представлена клавиатура MiraBox K1W с клавишами‑экранами
0
Новости
Устройства