sapran / dontclickshit Goto Github PK

Цікаво, які підстави для існуючих рекомендацій щодо паролів?

(Я — нуб, тому там нижче є декілька цитат з посиланнями на джерела.)

З того що я читав на цю тему, у мене склалось враження, що поточний консенсус це:

1. складні вимоги до паролів (кейс, спецсимволи, цифри) створюють більше проблем, ніж вирішуюють: їх важче запам'ятати, такі паролі частіше записують та використовують повторно; ту ж саму кількість ентропії легше отримати використовуючи довший пароль
2. основна проблема паролів/пасфраз на базі «рецептів»/правил в тому, що їх дуже важко оновлювати у випадку втрати/взлому; маючи goow3llD0nem8'gl3!, як створити наступний? при цьому, нам вже треба пам'ятати базу welldonemate, як ми її модифікували в w3llD0nem8' і як створили спеціалізовану версію для сервісу google …
3. до того ж, сама рекомендація чи вимога оновлювати паролі додає когнітивного навантаження, без рівносильного виграшу в безпеці; в більшості випадків, щоб менше думати, обирають достатньо складну основу, до якої додають один-три символи (найчастіше цифри), а отже, маючи один із попередніх паролів, легко підібрати поточний
4. звичайно, краще використовувати менеджер паролів, але і записувати паролі на папірець — ок, як що цей папірець, наприклад, в сейфі чи гаманці; це знімає навантаження пов'язане зі справді складними (довгими) паролями

З інших моментів, мені здається секцію про менджери паролів треба зробити першою. Для людей які дбають про свою безпеку, вони — майже повне рішення проблеми паролів. 🙂 Але обов'язково залишити рекомендацію генерувати, а не просто записувати ті ж самі свої слабкі, однакові паролі в менеджер.

Також, я розумію, що у 2FA методів є пріорітет (U2F/WebAuth і Push Notification безпечніше за RSA токени чи TOTP, а ті в свою чергу за SMS), та «Уникайте SMS» створює враження, що краще взагалі без 2FA, а ніж з SMS. Це точно хороша порада?

Джерела:

1. Пасфрази vs паролі:

When instructed to create mnemonic phrase-based passwords, the majority of users select phrases from music lyrics, movies, literature, or television shows. The text of these sources is often available on the Internet. This opens the possibility that a dictionary could be built for mnemonic passwords.
— Kuo et. al, Human Selection of Mnemonic Phrase-based Passwords

2. Про заміну літер символами і «силу» паролів:

hashcat 😜

The results indicate that increasing the minimum character length reduces crackability and increases security, regardless of whether additional restrictions are imposed.
— Proctor et. al, Improving computer security for authentication of users: Influence of proactive password restrictions

Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets.
— US NIST, Digital Identity Guidelines, 5.1.1.2 Memorized Secret Verifiers

3. Про використання «сильної основи»:

The most common non-shared portion length is 1 character. The mean length of non-reused substrings per participant ranged from 0.5 to 9.0, with an overall mean across participants of 3.25 characters (median = 3.08, SD = 1.81).
— Pearman et. al, Let’s Go in for a Closer Look: Observing Passwords in Their Natural Habitat

4. Про часту зміну:

We believe our study casts doubt on the utility of forced password expiration. Even our relatively modest study suggests that at least 41% of passwords can be broken offline from previous passwords for the same accounts in a matter of seconds, and five online password guesses in expectation suffices to break 17% of accounts. As we expand our consideration to other types of transform trees, we would not be surprised to see these success rates jump significantly. Combined with the annoyance that expiration causes users, our evidence suggests it may be appropriate to do away with password expiration altogether, perhaps as a concession while requiring users to invest the effort to select a significantly stronger password than they would otherwise (e.g., a much longer passphrase).
— Zhang, Monrose, Reiter, The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis

The NCSC now recommend organisations do not force regular password expiry. We believe this reduces the vulnerabilities associated with regularly expiring passwords (described above) while doing little to increase the risk of long-term password exploitation. Attackers can often work out the new password, if they have the old one. And users, forced to change another password, will often choose a ‘weaker’ one that they won’t forget.
— GCHQ, The problems with forcing regular password expiry

Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically).
— US NIST, Digital Identity Guidelines, 5.1.1.2 Memorized Secret Verifiers

5. Про заборону записувати на папері:

Writing your passwords down, however, is probably much safer than using the same password on
multiple machines. In most cases today, the attacker doesn’t have to be present to win.
— Cheswick, Rethinking Passwords

Except in basic8 survey, we also noted differences between participants who claimed to have written down their password, and those who claimed they had not: writing down passwords produced, on average, an extra 1.9 bits of entropy (statistically significant across 10 pairs of random samples
of 1,224 participants each, Bonferroni corrected p < 0.015). This seems to suggest that, when using memorability aids, users produce stronger passwords; and could make the case for encouraging the use of password managers.
— Komanduri et. al, Of Passwords and People: Measuring the Effect of Password-Composition Policies

Абзац - https://github.com/sapran/dontclickshit#windows-2
Текст: Інструкція Micrsoft. //Не вистачає 'o'

По всьому тексту.
Текст: авто**-**оновлення.
Виправлення: автооновлення.

Абзац - https://github.com/sapran/dontclickshit#Мобільна-безпека
Текст: Судячи з усього, мобільна безпека Apple та безпека їхньої екосистеми застосунків є набагато безпечнішою за рішення на базі ОС Android

Виправлення: мобільна ОС(?) Apple та їхня екосистема застосунків є набагато безпечнішої за рішення на базі ОС Android

Абзац - https://github.com/sapran/dontclickshit#Фізична-безпека
Текст: Якщо ви відвідуєте Інтернет-крамниці з ПК в комп'ютерному клубі або Інтернет-кафе – вас зламають.
Виправлення: інтернет-крамниці, інтернет-кафе.

Пропоную додати інформацію про менеджер паролів. Наприклад KeePass, або Bitwarden

Є якісь об'єктивні підстави чому LastPass не включено до списку "надійних парольних менеджерів"? Як я розумію він набагато популярніший того ж dashlane. То чому його не включити до списку?