Справочники

2024 Правила NIST по минимальной длине пароля: Стремитесь к 16 символам и более!

С появлением квантовых компьютеров пароли должны стать длиннее и сложнее. Эти советы помогут вам защитить свои учетные записи в Интернете.

Chart on password security based on length and complexity according to 2024 recommendations by NIST and CISA

В Tuta мы стремимся обеспечить безопасность данных наших пользователей с помощью квантово-безопасного шифрования. Для достижения максимальной безопасности важно использовать надежные, безопасные и достаточно длинные пароли. Пароли и их длина - это первая линия обороны, гарантирующая, что несанкционированный доступ не сможет нанести вред вашим данным или вам самим. Хотя такие факторы, как сложность и непредсказуемость, имеют большое значение, эксперты подчеркивают, что длина пароля является важнейшим элементом обеспечения его безопасности. Но учитывая новые угрозы, связанные с квантовыми компьютерами, какова оптимальная минимальная длина пароля, рекомендованная NIST и CISA?

Что говорят эксперты по безопасности

Эксперты по кибербезопасности постоянно выступают за более длинные пароли как ключевой компонент надежной защиты. “Длина пароля значительно увеличивает время и вычислительные ресурсы, необходимые для его взлома, - говорит Брюс Шнайер, известный криптограф и эксперт по безопасности, - Длинный пароль экспоненциально увеличивает сложность атак грубой силы, что делает его важнейшим аспектом надежности пароля”.

Национальный институт стандартов и технологий США (NIST) в прошлом рекомендовал выбирать минимальную длину пароля более 14 символов для безопасных паролей, но при этом указывал, что абсолютная минимальная длина пароля должна составлять 8 символов, а оптимальная - от 14 до 16 символов. NIST также подчеркивает, что более длинные пароли лучше и устойчивее к современным методам взлома, включая современные целевые атаки, например, со стороны государственных субъектов или секретных служб, которые способны использовать мощное оборудование или даже квантовые вычисления. С ростом вычислительной мощности пароли также должны увеличиваться в длине, чтобы противостоять атакам .

ВКЛЮЧИТЕ приватность одним нажатием.

Составляйте пароль из 16 символов и более

Приведенная ниже таблица длины и сложности паролей основана на рекомендациях NIST и CISA, опубликованных в 2024 году . С развитием квантовых компьютеров всем необходимо пересмотреть длину пароля, чтобы проверить, достаточно ли он надежен, чтобы противостоять атакам квантовых компьютеров, обладающих гораздо большей вычислительной мощностью, чем традиционные компьютерные системы.

Tabelle zur Passwortsicherheit basierend auf Länge und Komplexität gemäß den Empfehlungen von NIST und CISA für 2024 Tabelle zur Passwortsicherheit basierend auf Länge und Komplexität gemäß den Empfehlungen von NIST und CISA für 2024 Диаграмма безопасности паролей в зависимости от их длины и сложности в соответствии с рекомендациями NIST и CISA на 2024 год.

Эксперты по безопасности рекомендуют использовать минимальную длину пароля не менее 12 символов, но для особо важных учетных записей идеально подходят пароли из 16-20 символов и более . Американское агентство по киберзащите (CISA) рекомендует:

“Не менее 16 символов - длиннее, значит надежнее!“.

Национальный институт стандартов и технологий США (NIST) обновил свои рекомендации по длине пароля в 2024 году и заявляет:

“Длина пароля является основным фактором, характеризующим надежность пароля”.

В 2024 году NIST опубликовал новое руководство для онлайн-сервисов в отношении требований к паролям, чтобы сделать их более безопасными. Подобно рекомендации CISA о 16 символах в качестве идеальной минимальной длины пароля, NIST утверждает, что безопасный пароль ДОЛЖЕН :

“быть длиной не менее 15 символов”.

Длина пароля против сложности

Учитывая новую и увеличенную длину пароля, предыдущие советы об использовании специальных символов и отказе от использования словарных слов уже не так весомы, как в случае с более короткими паролями. В общем, эксперты по безопасности говорят, что чем длиннее, тем лучше . Но если вы стремитесь к идеальному паролю , не помешает следовать и этим рекомендациям:

  • Прописные и строчные буквы: KLJDFwerfn
  • Цифровые символы: 923857
  • Специальные символы: =)§)]€&
  • Случайность: Важно избегать предсказуемых шаблонов, использования только словарных слов или личной информации.

  1. Пароли, состоящие только из цифр: Пароль, состоящий исключительно из цифровых символов (0-9), предусматривает только десять возможных вариантов для каждого символа. Например, цифровой пароль из восьми символов будет иметь 10 x 10 x 10 × 10 × 10 × 10 × 10 × 10 × 10 = 100 000 000 (100 миллионов) возможных комбинаций.

  2. Цифры и строчные буквы: Добавление строчных букв (a-z) расширяет набор до тридцати шести возможных вариантов для каждого символа. Для восьмисимвольного пароля с использованием цифр и строчных букв количество комбинаций резко возрастает до 36 x 36 x36 × 36 × 36 × 36 × 36 × 36 × 36 = 2,8211099e+12 (два триллиона, восемьсот двадцать один миллиард, сто девять миллионов, девятьсот тысяч) возможных комбинаций.

Чтобы сбалансировать безопасность и удобство использования, используйте парольные фразы: серию случайных слов, соединенных вместе (например, “Solar-Miles50>Lunar-Meters51!”), которые легко запомнить, но трудно угадать.

Выбирая надежный пароль, учитывайте, что важны как длина, так и сложность, но если вам трудно справиться со сложностью, просто сделайте свой пароль длиннее, и вы получите аналогичный эффект в плане надежности пароля.

Длина пароля против времени взлома

Длина пароля - один из самых важных факторов, определяющих, сколько времени потребуется хакеру для его взлома. Инструменты для взлома паролей полагаются на грубую силу - метод, при котором систематически перебираются все возможные комбинации данного пароля, пока не будет найдена правильная. Такая атака требует времени, которое, очевидно, зависит от минимальной длины пароля. На самом деле время, необходимое злоумышленнику для взлома пароля, растет в геометрической прогрессии с каждым дополнительным символом . Например, взлом пароля длиной в шесть символов может занять несколько минут или часов, в зависимости от его сложности и доступной вычислительной мощности. Однако при увеличении длины до 12 символов процесс взлома может занять годы или даже столетия, особенно в сочетании с различными типами символов, такими как цифры, заглавные и строчные буквы, специальные знаки и символы.

Это экспоненциальное увеличение времени подчеркивает, почему более длинные пароли обеспечивают более надежную защиту.

Рекомендации NIST от 2024 года по оптимальной минимальной длине пароля и его структуре также должны быть учтены онлайн-сервисами, которые должны обновить свои требования к паролям и, что самое главное, должны разрешить более длинные пароли , поскольку многие сервисы по-прежнему ограничивают количество символов, которые пользователи могут вводить при создании паролей. Например, Tuta Mail запрашивает длину пароля не менее 10 символов, но допускает неограниченную длину пароля. Кроме того, при регистрации Tuta предлагает генератор паролей, который уже учитывает рекомендации NIST, генерируя длинные парольные фразы со случайно выбранными словами, чтобы пароль был достаточно длинным для достижения оптимальной стойкости .

Более подробно о том , как создать надежный пароль, мы рассказываем здесь.

Почему длинные пароли лучше

Минимальная длина пароля напрямую связана с количеством возможных комбинаций, которые злоумышленник должен попытаться угадать. Например:

  • 10-символьный пароль с использованием сочетания заглавных и строчных букв, цифр и символов дает около 83 секстиллионов комбинаций .

  • Пароль из 16 символов увеличивает это число до более чем 10 октиллионов комбинаций , что является огромным скачком в сложности.

Даже квантовые компьютеры, которые, как ожидается, создадут серьезные проблемы для традиционного шифрования, по-прежнему будут считать длинные пароли с непредсказуемой структурой сложными для взлома.

ВКЛЮЧИТЕ приватность одним нажатием.

Результаты опроса пользователей Tuta Mail

Мы в Tuta Mail делаем ставку на современную безопасность и уже интегрировали квантово-безопасное шифрование в наши сервисы электронной почты и календаря. В Tuta закрытый ключ пользователя защищается его паролем, поэтому выбор длинного и надежного пароля становится еще более важным. Поэтому мы провели опрос среди 2 500 пользователей, чтобы лучше понять, как много люди знают о безопасности паролей.

Länge der Passwörter der Tuta-Benutzer Länge der Passwörter der Tuta-Benutzer Длина пароля пользователей Tuta: Какова средняя длина вашего пароля? Он составляет … символов.

Учитывая тот факт, что пользователи Tuta не представляют среднестатистического интернет-пользователя, а являются очень подкованными в технологиях и интересуются безопасностью, результаты шокируют:

  • 16% обычно используют пароли длиной до 10 символов.
  • 32 % используют пароли длиной 11-15 символов.
  • 31 % используют пароли длиной от 16 до 20 символов для обеспечения надежного уровня безопасности.
  • 21 % предпочитают пароли длиной более 20 символов для максимальной защиты.

Удивительно и даже шокирующе, что, несмотря на то, что пользователи Tuta так много знают о безопасности, 16 % выбирают пароль длиной до 10 символов (что недостаточно надежно!), а 32 % довольствуются паролем длиной от 11 до 15 символов, хотя более длинные пароли, безусловно, были бы лучше, особенно с появлением квантовых компьютеров.

Не стоит забывать, что среднестатистический пользователь Tuta знает о безопасности в Интернете гораздо больше, чем среднестатистический интернет-пользователь. Например, тот же опрос показал, что 90 % пользователей знают, как зашифровать электронное письмо из конца в конец с помощью Tuta Mail, а 43 % умеют использовать шифрование PGP - число, которого мы бы точно не достигли, если бы задали эти вопросы широкой публике.

Несмотря на столь высокий уровень цифровых знаний, 34 % пользователей Tuta используют пароль из 14 символов или меньше, даже для таких личных учетных записей, как зашифрованный почтовый ящик.

Это говорит о том, что нам еще предстоит пройти долгий путь обучения людей передовым методам безопасности в Интернете.

Уроки исследования Tuta

Результаты опроса свидетельствуют о глубоком понимании безопасности пользователями Tuta, но также указывают на возможности для совершенствования. В то время как 52 % пользователей стремятся использовать пароли длиной более 15 символов, 16 % все еще считают достаточными пароли из 10 символов или менее, что делает аккаунты уязвимыми.

Поскольку пользователи квантово-безопасного почтового провайдера Tuta Mail более осведомлены, чем среднестатистический интернет-пользователь, шокирует тот факт, что 16 % используют пароли, состоящие всего из 10 символов или даже меньше. Это заставляет задуматься о том, сколько учетных записей в Интернете уязвимы для атак методом перебора. Если коротко, то очень много.

Длина пароля - один из самых эффективных и простых способов повысить уровень онлайн-безопасности. В условиях растущей угрозы кибератак и надвигающейся угрозы квантовых вычислений использование длинных и сложных паролей просто необходимо.

Результаты исследования Tuta свидетельствуют о том, что необходимо лучше информировать людей об оптимальной минимальной длине пароля, поощрять их использовать менеджеры паролей, а также генераторы случайных паролей . Кроме того, важные учетные записи должны быть защищены двухфакторной аутентификацией, лучше всего с помощью аппаратных ключей U2F.

Давайте вместе работать над созданием более приватного Интернета и улучшением защиты ваших данных!

Изображение телефона с логотипом Tuta на экране, рядом с телефоном, увеличенный щит с галочкой, символизирующий высокий уровень защищенности благодаря шифрованию Tuta.