Самое большое заблуждение в Интернете опровергли спустя 14 лет
Традиционные рекомендации по созданию пароля знакомы каждому пользователю Интернета: он должен включать буквы разных регистров, цифры и разные символы. Эти советы написал Билл Бёрр, бывший менеджер Национального института стандартов и технологии в США. В 2003 году сотрудник изложил правила безопасных паролей в специальном документе. Между тем инструкция стала одним из самых больших заблуждений в мире, о котором подозревали не многие. Теперь 72-летнему специалисту стыдно за ошибку, и он объяснил, как создать действительно хороший пароль.
В 2003 году Билл Бёрр мало знал о паролях и не был экспертом по безопасности — он просто делал свою работу. Менеджер объяснил, откуда взялась ложная информация.
"Я жалею о большинстве того, что сделал. — рассказывает Билл The Wall Street Journal, признавая, что инструкция основана на материалах из 1980-х, когда Интернет ещё не вошёл в массы. — В итоге список инструкций получился запутанным и, на самом деле, неправильным"
На этот раз Билл не ошибся. Простые вычисления показывают, что короткий пароль со случайными символами взломать легче, чем длинную строку из запоминающихся слов. Сравнение двух типов паролей показали в виде комикса.
Таким образом, список рекомендаций из 2003-го не соответствует реальности: на подбор «сложного» пароля со скоростью 1 000 запросов в секунду уйдёт 3 дня, а с простыми словами хакеры справятся только за 550 лет. Интересно, что в Интернете есть ещё много странных изобретений, о которых жалеют авторы, например, двойнойслеш в ссылках и всплывающие окна с рекламой.
Баянометр только выдавал картинку.
Английский алфавит + заглавные + цифры + спецсимволы получаем около 70-80 вариантов на каждый символ.
Символов тут 11. То есть получаем 70 в 11 степени. Около 2 на 10 в 20 степени.
А 2 в 28 это 2 на 10 в 8 степени.
Итого не 3 дня надо, а 10 млрд лет со скоростью 1000 в сек.
Так что оба пароля из примера взломать перебором нереально.
А пороли все проебывают в тот момент, когда на всяких мутных сайтах регистрируются с одним и тем же паролем, который и к соцсетям и к почтам подходит. Либо сайт ломанут, либо он сам сольет.
А вдруг это неправда? Вдруг это специальная статья, запущенная в эти ваши интернеты опасными хакерами, чтобы все заменили свои пароли старого образца на эти новомодные фразы, а они потом - ррраз и все их взломают?
Вспомнился анегдот начала 2000х:
"Админ Ю**са сказал что для взлома пароля от главного сервера понадобится 10 миллионов лет. Сотрудникам управления "К" для решения данной задачи потребовалось 6 минут из которых 3 ушло на фиксацию пациента скотчем к стулу."
А так да, информация в посте достаточно старая, пару лет назад, по моему на хабре, это уже было, но тем не менее не все об этом еще знают.