Концепция изменилась: пароли из наборов случайных символов больше не считаются хорошими

Федеральные эксперты США официально признали: повальное увлечение сложными паролями с цифрами, спецсимволами и ежеквартальной сменой не только не защищает пользователей, но и делает их более уязвимыми для кибератак. Новые рекомендации Национального института стандартов и технологий (NIST) переворачивают многолетние представления о цифровой гигиене. Вместо «P@ssw0rd1!» специалисты советуют нечто принципиально иное — длинные, но простые для запоминания фразы.

Почему «сложный» пароль больше не работает

Главный вывод, к которому пришли в NIST после публикации второго публичного проекта документа NIST SP 800-63-4 по цифровой идентификации, заключается в крахе концепции «энтропии через усложнение». Требование обязательно включать в пароль заглавные и строчные буквы, цифры и знаки препинания привело к парадоксальному результату. Пользователи, не в силах запомнить хаотичные наборы символов, начали массово прибегать к предсказуемым шаблонам. Самый яркий пример — комбинация вроде «P@ssw0rd123», которая формально соответствует всем критериям сложности, но является одной из первых целей для программ-подборщиков.

Ловушка регулярной смены паролей

Отдельная проблема — навязанная практика менять пароль каждые 60–90 дней. Исследования NIST показали, что это требование лишь усугубляет ситуацию. Вынужденные постоянно придумывать новые комбинации, пользователи выбирают еще более слабые вариации предыдущих паролей или записывают их на стикерах, сводя на нет всю защиту. Именно этот «человеческий фактор» и стал причиной пересмотра подхода.

Длина как новый стандарт безопасности

Ключевой метрикой надежности теперь становится не сложность, а протяженность пароля. Эксперты NIST пересмотрели понятие энтропии: оказалось, что увеличение длины строки за счет простых, но осмысленных символов дает экспоненциально больший выигрыш в безопасности, чем добавление одного спецсимвола в короткий набор.

Рекомендуемая стратегия — использование фразовых паролей (passphrases). Пример из документации: комбинация «bigdogsmallratfastcatpurplehatjellobat» состоит исключительно из строчных букв и известных английских слов. Однако количество возможных комбинаций в такой строке делает ее взлом методом перебора практически невыполнимой задачей даже для современных вычислительных мощностей.

Практический пример из реальной жизни

Показательный случай произошел с мэром Нью-Йорка Эриком Адамсом. Перед передачей личного смартфона правоохранительным органам он изменил код блокировки с четырехзначного на шестизначный. Это простое действие увеличило количество возможных комбинаций для подбора с 10 тысяч до 1 миллиона, что кратно усложнило потенциальный доступ к устройству.

Корпоративным пользователям и компаниям NIST теперь рекомендует разрешить создание паролей длиной до 64 символов. Даже если такой пароль будет состоять только из строчных букв, его взлом займет колоссальное время. А добавление к длинной фразе хотя бы одной заглавной буквы или символа делает атаку методом грубой силы (brute force) полностью бессмысленной.

Примечательно, что еще несколько лет назад те же самые регуляторы настаивали на обязательном использовании спецсимволов и ежеквартальной ротации. Пересмотр стандартов NIST SP 800-63 происходит на фоне резкого роста числа утечек данных, где в открытый доступ попадают базы с миллионами паролей, соответствующих старым «сложным» требованиям. Анализ этих баз показал, что пользователи, следуя устаревшим советам, создавали предсказуемые комбинации, которые алгоритмы научились вычислять за секунды. Новый подход, основанный на когнитивной простоте для человека и математической сложности для машины, способен кардинально изменить ландшафт кибербезопасности в ближайшие годы, снизив нагрузку на службы поддержки и количество инцидентов, связанных с компрометацией учетных записей.