Политика паролей: длина и сложность

Политика паролей: длина vs сложность -- что на самом деле рекомендует NIST

NIST SP 800-63B (обновление 2024) перевернул десятилетия парольных практик: прекратите требовать сложность, начните требовать длину. Вот почему -- с математикой.

Математика энтропии

Энтропия измеряет сложность подбора пароля. Формула: log2(размер_алфавита ^ длина).

16-символьный пароль из строчных букв в 8 миллионов раз сложнее взломать, чем 8-символьный "сложный". Длина побеждает.

Что говорит NIST SP 800-63B

Почему правила сложности вредят

Когда вы требуете паттерн P@ssw0rd!, пользователи делают именно это -- предсказуемые подстановки, которые инструменты взлома проверяют первыми. Атака по словарю с правилами leet-speak ломает Tr0ub4dor&3 за секунды. А correct horse battery staple (4 случайных слова, ~44 бита из словаря в 2048 слов, или 5-6 слов для 55-66 бит) и надёжнее, и запоминается легче.

Практическая реализация

# Псевдокод NIST-совместимой валидации
def validate_password(password: str, blocklist: set) -> bool:
    if len(password) < 12:
        return False  # минимальная длина
    if password.lower() in blocklist:
        return False  # отклонить известные утёкшие пароли
    return True  # никаких правил сложности

Используйте менеджер паролей для генерации случайных паролей длиной 16-20 символов. Попробуйте Генератор паролей -- выставьте длину 16+ и забудьте о сложности.

Главный вывод

Обновите парольную политику: минимум 12 символов, проверка по чёрному списку, без принудительной ротации, без правил сложности. Получите более надёжную защиту и меньше обращений в поддержку.

Связанные материалы