О парольных фразах

Недавно в очередной раз проходил у клиента тренинг по информационной безопасности. Разумеется, там есть раздел, посвящённый паролям.

👉 Две ключевые рекомендации тренинга - использовать менеджер паролей KeePass и парольные фразы. Их предлагается составлять на основе слов (Run#28The^Damn()Ball), либо из первых букв слов памятной для вас фразы (40kObVZhSuBan!).

Вообще, если используется KeePass, особой нужды в парольных фразах нет. Потому что можно просто сгенерировать пароль любой длины и сложности и вставлять его, в том числе автоматически, см. серию #autotype в канале.

ℹ️ Однако парольные фразы полезны в качестве особо важных паролей, которые приходится вводить руками достаточно часто, при этом не имея возможности или желания задействовать менеджер паролей.

К этой категории как раз относится учётная запись организации! KeePass не поможет вам при интерактивном входе на экране приветствия. А если у вас систему блокируют через 5 минут неактивности, пароль приходится вводить часто.

У клиента специальное подразделение занимается выявлением пользователей со слабыми паролями к учётной записи организации. Если удалось взломать пароль за определённое время, они шлют письмо с рекомендациями из тренинга и требованием сменить его, угрожая блокировкой аккаунта ❌

Пароль-то может соответствовать политикам, но быть слишком лёгким для взлома. Например, P@ssw0rd состоит из восьми символов, включает заглавные и строчные буквы, цифры и спецсимволы. А толку-то 🤷‍♂️

У меня пароль был подлиннее и посложнее, но письмо всё равно пришло! По оценке https://bitwarden.com/password-strength/ взлом аналогичного пароля занял бы 6 месяцев.

Если своей фантазии на парольную фразу не хватает, можно сгенерировать тем же KeePass. Из коробки он это не умеет, либо я не знаю простого способа. Но есть множество плагинов (кстати, их установка в огороженной среде клиента не предусмотрена).

🔢 Дома у меня к KeePass пристёгнут плагин Diceware. Там масса настроек, включая словари культовых фильмов вроде Звёздных войн. Можно контролировать количество и типы символов, которые добавятся в заданное место парольной фразы. Поэтому подобрать удобную фразу не составляет труда. Вот пример сгенерированных фраз из четырёх слов, с добавлением цифр и спецсимволов.

Jobs9-)Yeager5-*Peaceful1-#Sobbing

Form2-+Decker7-*Hone0-+Showed

Surprised5-@Lying6-_Jon4-)Previous

Пуристы скажут, что в паролях любые слова из словарей - неприемлемо. Но де-факто такая фраза перекрывает требования подавляющего большинства организаций. А оценка длительности взлома у того же BitWarden измеряется веками. На что-то подобное я свой пароль и заменил.

Нет, конечно. Это же надо к совершенно новой последовательности символов привыкать! 😎 Между тем, мое рабочее место - Windows 365, к которой я подключаюсь из защищённого контура. У меня везде ограниченные права в жёстко контролируемой среде. И, что весьма важно, для входа в учётную запись этой организации обязателен второй фактор.

У меня и так была парольная фраза, но слишком простая по их критериям. Я добавил в неё ещё две цифры и два спецсимвола. И вот уже год писем счастья не приходило ✌️