Kui kasutate sama parooli mitme erineva saidi jaoks, siis te teete midagi valesti. Iga parool peab olema saidipõhine. Seetõttu ei ole põhjust, miks "nõrgemad standardid" mõjutaksid "kõiki teie paroole".

(Samamoodi pole ühtegi ratsionaalset põhjust kõigi oma paroolide regulaarseks muutmiseks. Seal on levinud parooli sagedase uuendamise tava, kuid see on "levinud tava", kindlasti mitte "parim tava".)

Kui teil on saidipõhiseid paroole, siis halvasti kujundatud nõuded mõjutab ainult seda saiti. Lõppkokkuvõttes säilitab iga sait oma turvalisuse ja nende "paroolinõuded" on osa sellest. Kui sait nõuab maksimaalselt 8 tähemärgi suurust parooli, tähendab see järgmist:

• saidi omanikul ei ole hea turvatunnetus.
• saiti on kõige rohkem ilmselt mitmeti nõrk; imelikud paroolinõuded on tavaliselt ainult jäämäe tipp.

Seega jääb paroolile keskendumine tähelepanuta. Selle saidi turvalisus haiseb ja te ei saa selle vastu midagi teha , välja arvatud tülika saidi isoleerimine, mida tehakse paroole mitte uuesti kasutades.

Selgitused nõrkade paroolireeglite kohta

Noh, need on ilmselgelt halvad reeglid. Kuid siin on mõned võimalikud selgitused (või "selgitused"):

Ei tohi alata numbriga

Saidi omanik võib tegelikult arvata, et see on hea reegel. Näiteks 1234546 või '1' -ga ühise fraasi lihtsalt ette valmistamise vältimiseks (nt 1parool)

Ei tohi olla erimärki

Omanik võib karta, et tema süsteem (vorm, krüpteerimisalgoritm ...) ei suuda erimärke hallata või et need kujutavad endast turvariski.

Peab olema maksimaalselt 8–12 tähemärki pikk (olenevalt teenusest)

Mõni krüptimisalgoritm kärbib parooli 8 märgi järel. See ei tähenda, et parool ei saa olla pikem, kuid omanik võib seda arvata. Samuti võivad nad karta, et kasutaja sisestab naeruväärselt pika parooli, mis võib karta, et see võib nende süsteemi rikkuda.

Need pole jällegi head põhjused, vaid põhjused, mis kellelgi võivad olla.

Teie värskenduse kohta: miks mitte neid reegleid muuta?

Need kaks teenust, mille juurde ma olen kinni jäänud, reguleerivad ka minu piirkonda ja oma elukohta.

ja:

Kogu selle raha, ressursside ja mõne valdkonna IT-töötajaga peaksid nad vastama standarditele.

See ei on kindel, et neil on suur stiimul muutusteks. Klientide kaotamine näib ebatõenäoline, kui see on oluline teenus, mida pakuvad ainult kaks ettevõtet. Sõltuvalt riigist on tõenäoliselt säästa kohtuasja ootamist (mida ei pruugi isegi tulla) ja (juhul kui see isegi võidetakse) maksta väike-väike rahasumma.

Ja suure süsteemi muutmine pole nii lihtne, kui see kõlab. Kui tegemist on vana süsteemiga (mis see võib väga hästi olla), võib olla võimalik, et see ei suuda tegelikult tegeleda erimärkidega (eriti mitte kõigi utf8 tähemärkidega). Miks seda muuta, kui see praegu töötab? (mida nad ilmselt mõtlevad - kui see on isegi probleem, millest nad on teadlikud).

Nõrgemate paroolide jõustamise üks põhjus on see, et nõrgemat parooli on kasutajal lihtsam meelde jätta. Kui kasutaja parooli unustab, tuleb kasutada parooli automaatse hankimise protseduuri. Selline protseduur eeldab tavaliselt, et e-posti kontole saadetakse selgesõnaline parool. See pakub palju rünnakupinda, mida veebisait ei saa kontrollida. Mida harvemini unustavad kasutajad oma paroolid, seda harvemini on vaja seda protseduuri algatada.

Teiselt poolt on rünnakustsenaariumid, kus parooli tugevus on oluline, näiteks sisselogimisvormi jõhker sundimine või andmebaasi varastamine on nende kontrolli all. Nad saavad võtta meetmeid nende vältimiseks.

Kui inimestel on vaja valida riski, mida nad saavad kontrollida, ja riski vahel, mida nad ei suuda, valivad nad esimese.