И снова о паролях. Рекомендации Microsoft

В последнее время появляется много советов от различных экспертов по созданию и использованию паролей. От требований по сложности пароля акцент смещается на его длину. Основных советов два - использовать длинные парольные фразы и применять программные менеджеры паролей.
На этом фоне необычно выглядят рекомендации по использованию паролей, выпущенные Microsoft (https://docs.microsoft.com/ru-ru/microsoft-365/admin/misc/password-policy-recommendations?view=o365-worldwide).

• Не увеличивайте минимальную длину паролей (8 символов). Больше не значит лучше.
• Не требуйте использовать определенные группы символов, например *&(^%$.
• Не требуйте регулярной смены паролей для учетных записей пользователей.
• Запретите использовать распространенные пароли, чтобы в системе не было самых уязвимых паролей.
• Попросите сотрудников не использовать пароли от рабочих учебных записей для личных целей.
• Потребуйте использования многофакторной проверки подлинности.
• Включите запросы многофакторной проверки подлинности с учетом рисков.

• Не используйте такие же пароли, как на других сайтах, или аналогичные им.
• Не используйте в качестве пароля одно слово, например password, или частые фразы, например Iloveyou.
• Используйте пароли, которые будет сложно угадать даже тем, кто хорошо вас знает. Не включайте в них имена и дни рождения своих родных и друзей, названия любимых групп или фразы, которые вы часто произносите.

Особенно интересен раздел с описанием негативного влияния требований к паролям.

Распространенные требования к паролям и их негативное влияние

Описанные ниже принципы управления паролями часто используются в компаниях, но, согласно исследованиям, это зачастую приводит к отрицательным последствиям.

Требования к окончанию срока действия паролей

Требования сменить пароль приносят больше вреда, чем пользы, так как из-за них пользователи выбирают предсказуемые пароли, состоящие из последовательных слов и чисел, которые близко связаны друг с другом. В таких случаях следующий пароль можно легко угадать на основе предыдущего. Требования к окончанию срока действия паролей не сдерживают атаки, так как злоумышленники почти всегда используют учетные данные сразу после их взлома.

Требование длинных паролей

Требование паролей длинной больше 10 знаков может привести к предсказуемым и нежелательным действиям пользователей. Например, если пароль должен быть 16-значным, пользователи могут повторять в паролях слова, например fourfourfourfour или passwordpassword, из-за чего их нетрудно угадать. Кроме того, требования к длине пароля повышают вероятность других небезопасных действий. Так, пользователи могут записывать пароли, повторно использовать их или хранить их в незашифрованном виде в своих документах. Чтобы пользователям было проще придумывать уникальные пароли, рекомендуем использовать разумную минимальную длину (8 символов).

Требование использования нескольких типов символов

Требования к сложности приносят больше вреда, чем пользы, так как из-за них пользователи часто действуют предсказуемо. В большинстве систем есть определенные требования к сложности паролей. Например, пароли должны содержать знаки из всех трех категорий:

• прописные буквы;
• строчные буквы;
• небуквенные символы.

Большинство людей создают пароли аналогичным образом: начинают их с большой буквы и заканчивают их символом, перед которым стоит число. Киберпреступники знают это, поэтому при атаках перебором по словарю они используют самые популярные замены, например $ вместо s, @ вместо a и 1 вместо l. Если заставить сотрудников использовать в паролях буквы в верхнем и нижнем регистре, цифры и специальные символы, это отрицательно повлияет на безопасность. Некоторые требования к сложности вообще делают невозможным использование надежных и запоминающихся паролей.