Політика паролів: довжина проти складності

Політика паролів: Довжина проти складності -- Що насправді рекомендує NIST

NIST SP 800-63B (оновлено 2024) змінив десятиліття порад щодо паролів: відмовтеся від примусових правил складності, натомість вимагайте довжини. Ось чому, з математикою для підтвердження.

Математика ентропії

Ентропія вимірює, наскільки важко підібрати пароль методом брутфорсу. Формула: log2(charset_size ^ length).

Пароль із 16 символів у нижньому регістрі у 8 мільйонів разів важче зламати, ніж 8-символьний "складний" пароль. Довжина перемагає.

Що говорить NIST SP 800-63B

Чому правила складності шкодять

Коли ви примушуєте використовувати шаблони P@ssw0rd!, користувачі роблять саме це -- передбачувані заміни, які інструменти підбору використовують першими. Атаки словника з правилами Leet-мовлення підбирають Tr0ub4dor&3 за секунди. Між тим, correct horse battery staple (4 випадкові слова, ~44 біти з списку із 2048 слів, або виберіть 5-6 слів для 55-66 біт) є і сильнішим, і запам'ятовуваним.

Практична реалізація

# Псевдокод для перевірки згідно з NIST
def validate_password(password: str, blocklist: set) -> bool:
    if len(password) < 12:
        return False  # забезпечити мінімальну довжину
    if password.lower() in blocklist:
        return False  # відхилити відомі зламані паролі
    return True  # ніяких правил складності не потрібно

Використовуйте менеджер паролів для створення 16-20 символів випадкових паролів для кожного облікового запису. Спробуйте Генератор паролів, щоб створювати високоентропійні паролі миттєво -- встановіть довжину на 16+ і пропустіть головний біль зі складністю.

Основне

Оновіть політику паролів вашої організації: мінімум 12 символів, перевірка списку заборонених, ніякої примусової зміни, ніяких правил складності. Ви отримаєте сильнішу безпеку і менше квитків у служби підтримки.

Пов'язані