Проверка паролей по словарям и базам утекших данных
«Не менее 8 символов, включая цифры и заглавные буквы», — требует очередной сервис. «Gfhjkm2023», — набирает пользователь, не задумываясь, что он уже взломан.
Привет! Мы — RooX, российский разработчик веб-решений. У нас есть своя система аутентификации и авторизации RooX UIDM. И мы умеем проверять пароли по словарям и базам утекших данных.
Прекрасно! Пойду расскажу бывшим коллегам, что массовая смена паролей раз в квартал - это прошлый век)
Если организация подчинена отечественной нормативке, то там всё плохо. У нас пока что требуют менять и использовать всякие глупые парольные политики. А если таких ограничений нет, то вот выжимки из NIST https://owasp-top-10-proactive-controls-2018.readthedocs.io/en/latest/c6-implement-digital-identity.html#level-1-passwords ну или оригинал https://pages.nist.gov/800-63-3/sp800-63b.html#memsecret
В частности, Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.
эммм я свой пароль уже год точно не менял