Information security

Если ребенок должен жить на берегу океана, лучше научить его плавать, чем строить забор вокруг океана.

Информационная безопасность - защищенность информации от любых негативных воздействий:

• информационных (помехи, искажения, шифровка....);

• технических (неисправности, поломки ....),

• временных (старение, потеря актуальности ....),

• социальных (вандализм, подделки, плагиат....);

• природных (ураганы, молнии, падение астероидов...).

Информационная безопасность - защищенность любых систем от негативных информационных воздействий:

• информационных данных (от искажающих дополнений, подмены другими данными....)

• компьютера (от вредоносного программного обеспечения....);

• человека (от разрушающих его личность образов, клеветы, лжи, неинформированности....);

• общества (от агрессивной рекламы низменных страстей, пороков, колдунов, алкоголя и т.д.);

• государства (от спланированных информационных атак со стороны враждебных государств....).

Безопасность информации - защищенность

• целостности  (integrity) - гарантия существования информации в исходном виде

• доступности (availability) - возможность получение информации в нужное для пользователя время

• конфиденциальности (confidentiality) - доступность информации только определённому кругу лиц,

• аутентичности (authenticity) - возможность установления автора информации.

Брюс Шнайер - перевести информацию в царство цифр непросто, а сохранить ее там попросту невозможно.

Термин «безопасность» имеет в русском языке два основных смысловых значения:

• состояние защищенности некоторого объекта или процесса от негативных воздействий со стороны внешних или же внутренних факторов;

• отсутствие вредоносности некоторого объекта или процесса для других объектов или же процессов.

Проблема информационной безопасности может рассматриваться в двух аспектах:

• человек (общество, государство, информационная система) выступает объектом, который нуждается в защите от информационных угроз.

• человек (общество...) сам является источником информационных угроз для других людей, общества, государства, информационных систем.

***

Согласно части 2 ст.188 Уголовного кодекса Беларуси за клевету, в том числе в Интернете, предусмотрен штраф, или исправительные работы на срок до 2 лет, или арест на срок до 6 месяцев, или ограничение свободы на срок до 3 лет.

Брестский пример: В сентябре 2008 года житель Бреста 1986 г.р., студент, осуществил с помощью своего компьютера несанкционированный доступ к интернет-сайту, который принадлежит жителю Минска, и изменил содержащуюся на нем информацию. Злоумышленник отправил с электронного адреса минчанина от его имени письма, содержащие нецензурную брань. Возбуждено уголовное дело по ч. 1 ст. 350 УК (модификация компьютерной информации). Она предусматривает наказание от штрафа до лишения свободы на срок до трех лет.

Чью душу губит душегуб? Свою.

Храните себя от того, чтобы:

• навредить другому публикацией ложных, компрометирующих, оскорбительных или обидных материалов о нем;

• навредить публикацией ложных, некомпетентных, бесполезных, оскорбительных, провоцирующих, безнравственных, опасных для других материалов;

• нарушить чужую приватность, проникнуть в секреты и тайны личной жизни другого.

студенты манипулируют преподавателями!

Брюс Шнайер - один из ведущих специалистов в области информационной безопасности.

Брюс Шнайер: Взаимодействие человека с компьютером таит в себе наибольшую угрозу из всех существующих. Люди часто оказываются самым слабым звеном в системе мер безопасности, и именно они постоянно являются причиной неэффективности последних.

Брюс Шнайер:  Люди не понимают, что такое компьютер. Он представляется им загадочным «черным ящиком», в котором что-то происходит. Они доверяют его сообщениям и хотят лишь одного — чтобы их работа делалась.

Брюс Шнайер: При выборе способа защиты психология человека играет определяющую роль. Вы можете чувствовать себя в безопасности, хотя на самом деле это не так. И наоборот, можете находиться в безопасности, в то время как ощущения говорят об обратном.

Брюс Шнайер: Люди не понимают, что такое опасность, за исключением разве только случаев явной угрозы. Но они не осознают скрытую опасность. Недооцениваются риски прозаичные, распространенные, не являющиеся предметом обсуждения, естественные, долгосрочные, медленно набирающие силу и затрагивающие других людей. Люди склонны к необоснованному оптимизму — они думают, что будут удачливее других.

Брюс Шнайер: Безопасность — это всегда компромисс. От чего вам придется отказаться и что вы получите взамен? Искать подобные компромиссы нам приходится ежедневно.

Брюс Шнайер: Безопасность  — это процесс, а не продукт.

В библиотеке БрГУ есть замечательная книга Секреты и ложь. Безопасность данных в цифровом мире / Б. Шнайер. — СПб.: Питер, 2003. — 368 с: ил. — (Серия «Классика computer science»)..

Вы в зоне риска, если (порядок имеет значение!):

1. являетесь шпионом (разведчиком);

2. маниакально беспокоитесь за собственную безопасность;

3. являетесь богачем (близким ему человеком);

4. являетесь участником (близким активному участнику человеком) какого-либо противоборства (криминального, коммерческого, политического, религиозного, творческого, спортивного....);

5. владеете значимыми для других секретами;

6. являетесь предметом страсти, объектом мести;

7. имеете подключенный к Сети компьютер;

8. ничего не имеете, кроме свободного времени, которое нечем заполнить..

Выходя в глобальную Сеть, Вы впускаете ее к себе. Вы находите и Вас находят. Все связано со всем.

Читайте рассказ Кори Доктороу   Выгуглен

Гугл контролирует вашу почту, ваши видео, ваш календарь, ваш поиск. А если бы он контролировал вашу жизнь?

Кори Доктороу (Cory Doctorow) - канадский писатель, журналист, блоггер, философ, поборник либерализации системы авторских прав, координатор правозащитной организации Electronic Frontier Foundation.

• Спам;

• Вредоносное программное обеспечение;

• Фишинг, вишинг, фарминг;

• Компьютерное пиратство;

• Некомпетентность пользователей;

• Сбор информации о пользователе;

• Агрессивный и порнографический контент;

• Информационная избыточность;

• Инсайдерство.

Евгений Касперский: Сегодня и на ближайшую перспективу наиболее актуальны следующие угрозы: криминальный софт, шпионы, бот-сети, банковские троянцы и прочие зловреды, предназначенные для воровства денег и ценной информации.

Итоги, выводы, тенденции:

• В 2015 году урон, нанесенный киберпреступниками, составил 3 трлн долларов.
  По некоторым оценкам, эта цифра увеличится до 6 трлн к 2021 году.

• В России количество хищений в интернет-банкинге у физических лиц выросло на 144% по сравнению с прошлым годом.
  Число краж с использованием андроид-троянов увеличилось на 136% за аналогичный период.

• Часть преступников занимается атаками на банки с целью украсть деньги. Другая часть — проводит диверсионные атаки на критическую инфраструктуру. Цель атак на критическую инфраструктуру — вывести из строя ключевые компоненты систем и прервать бизнес-процессы, поскольку ущерб от простоя может оказаться куда более ощутимым, чем простая кража средств. С недавних пор такие атаки производятся с использованием вирусов-шифровальщиков.

• Финансово-мотивированные хакеры проводят атаки на SWIFT, карточный процессинг, платежные шлюзы, терминалы и банкоматы. При этом некоторые их программы не оставляют следов в системе после перезагрузки компьютера. Основным методом работы в этой области является фишинг. Основной целью — карточный процессинг.

• Взломы криптовалютных бирж проводятся по той же схеме, что и целенаправленные атаки на банки. Используются схожие инструменты и тактики. В том числе фишинг, шантаж и социальная инженерия.

https://www.group-ib.ru/2017-report.html

28.10.2009 Юрий Гуревич (ведущий исследователь Microsoft Research, из доклада на CEE-SECR 2009):

• В наши дни мы не понимаем речи другого человека по причине бурного развития технологий и разделения труда. Психиатр и кардиолог говорят на разных языках. Фаерволы и системы безопасности в СУБД "говорят" на разных языках.

• Важно научить различные системы безопасности (антивирусные программы, системы защиты СУБД, фаерволы и т. д.) "общаться" друг с другом, оперативно обмениваться данными о выявляемых проблемах и угрозах. Но как?

• Возможный подход состоит в создании некой метасистемы, суперэксперта. Здесь есть две проблемы. Первая – высокие накладные расходы. Вторая – никто не знает, как создать такую суперсистему. Есть ли альтернативное решение? Да.

• Даже если эксперты говорят на разных языках, у этих языков есть общее непустое подмножество. Психиатры и кардиологи понимают друг друга, когда говорят, что пациент – мужчина или женщина, что пациент болен или здоров. Аналогичным образом, есть простой "язык", “понимаемый” всеми системами безопасности. В этом, собственно, и состоит идея ESAS.

ESAS (Enterprise Security Assessment Sharing system) - разрабатываемая Microsoft корпоративной системы обмена мнениями о состоянии безопасности.

Фишинг (phishing) — технологии интернет-мошенничества использующие  социальную инженерию с целью завладения чужими конфиденциальными данными (пароли доступа, данные банковских карт и проч), которые жертва предоставляет мошеннику абсолютно добровольно, не понимая сути происходящего.

Почтовый фишинг: по электронной почте отправляется специальное подложное письмо (якобы от банка, аукциона, провайдера...) с требованием выслать какие-либо данные

Онлайновый фишинг злоумышленники копируют сайты (интернет-магазинов), используя похожие доменные имена и аналогичный дизайн. Цены в подложном магазине бросовые, а подозрения снимаются ввиду известности копируемого сайта. Приобретая товар, жертва регистрируется, вводит номер и прочие данные своей кредитной карты...

Фишинг широко применяет key-loggers — специальные программы, отслеживающие нажатия клавиш и отсылающие полученную информацию по заранее назначенным адресам.

***

Только Rock Group, одна из пользовавшихся хостингом RBN (Russian Business Network) банд, которая специализировалась на фишинге, в 2007 году заработала 150 млн долларов.

Вишинг (vishing) -  разновидность фишинга, заключающаяся в использовании war diallers (автонабирателей) и возможностей интернет-телефонии (VoIP) для кражи личных конфиденциальных данных.

В интернет-телефонии звонок по городскому номеру может быть автоматически перенаправлен в любую точку земного шара на виртуальный номер. Звонящий же ни о чем и не догадывается.

Схема обмана:

• клиент платежной системы получает сообщение якобы от администрации или службы безопасности системы с предупреждением, что информация о его кредитной карте попала к мошенникам, и просят немедленно перезвонить по определенному номеру;

• на другом конце провода отвечает типично "компьютерный" голос, сообщающий, что человек должен пройти сверку данных и ввести 16-значный номер карты с клавиатуры телефона;

• как только номер введен, вишер становится обладателем всей информации (номер телефона, полное имя, адрес), необходимой для того, чтобы, к примеру, обложить карту штрафом;

• затем, используя этот звонок, можно собрать и дополнительную информацию, такую как PIN-код, срок действия карты, дата рождения, номер банковского счета и т.п.

Существующие системы для выявления нападений не способны определить факт VoIP-атаки.

Фарминг (pharming) - перенаправление жертвы по ложному адресу.

Злоумышленник портит навигационную инфраструктуру, от которой зависит функционирование браузера, и овладевает некоторой ее частью. Это может быть локальная версия, файл hosts или система доменных имен (domain name system, DNS), используемая интернет-провайдером для наведения браузера на нужный объект.

Жертва открывает непрошеное почтовое послание или посещает некий веб-сервер с исполнимым файлом, который тайно запускается в фоновом режиме. При этом искажается файл hosts1. Операция занимает лишь секунду, но вредоносное ПО может содержать URL многих банковских структур. Механизм перенаправления активизируется в тот момент, когда пользователь набирает знакомый доверенный адрес, соответствующий его банку... и попадает на один из ложных сайтов.

Специальных механизмов защиты от фарминга сейчас не существует.

10.03.2009

По данным MarkMonitor наиболее распространенной формой интернет-мошенничества является киберсквоттинг - регистрирация доменных имен, сходных с известными брендами, с целью их дальнейшей перепродажи. В 2008 году количество регистрации таких доменов возросло на 18% или более полутора миллионов случаев мошенничества.

Другая проблема, с которой часто сталкиваются законные фирмы, заключается в том, что мошенники регистрируют доменное имя, лишь слегка отличающееся от известного бренда, с тем, чтобы заманить пользователя на свой сайт (тайпсквоттинг).
Число случаев фишинга за вторую половину 2008 года возросло на 122%. Компания относит это на счет нынешнего экономического кризиса. 

Ботнет (botnet) - компьютерная сеть, состоящая из компьютеров, с запущенными ботами.

Бот (bot, сокр. от «робот») - специальная программа для совершения рутинных операций. Чаще всего бот в составе ботнета является скрытно устанавливаемым на компьютере жертвы и позволяющим злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера программным обеспечением.

Обычно ботнеты используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании (Ddos-атака) и т.д.

25.07.2008 

Термин "botnet", который означает сеть зараженных компьютеров, без ведома владельцев выполняющих удаленные команды, официально признан английским словом и внесен в 11-е издание оксфордского словаря.

11.04.2008

• Stormbot - крупнейшая бот-сеть. Бот

• Storm стал известен в начале 2007г. За неделю червь Storm инфицировал полтора миллиона компьютеров по всему миру, а к осени 2007 года, по различным оценкам, бот-сеть насчитывала до 50 миллионов зомби-машин.

• В создании сети Storm подозревают группу злоумышленников из Санкт-Петербурга.

По оценке создателя протокола TCP/IP Винта Серфа, около четверти компьютеров, подключённых к Интернет, могут находиться в ботнетах.

Отдел по безопасности Microsoft Office использует свой собственный внутренний ботнет, который играет ключевую роль в поисках новых уязвимостей в Office за счет симулирования широко распространенной fuzzing-технологии (тестирование программ с помощью случайных данных). Многие из обновлений безопасности в Office 2003 Service Pack 3 являются прямым результатом анализа полученной от ботнета информации.

20.12.2016 

• Ботнет российского происхождения Methbot (запущен в сентябре 2016) просматривает рекламы на $3-5 млн в сутки. По оценкам White Ops в него входит не менее полумиллиона фальшивых пользователей и около 250 тыс. подставных веб-сайтов. С полным отчетом можно ознакомиться здесь. 

• Схема заработка Methbot: подставные веб-сайты участвуют в размещении видеорекламы в рамках соответствующих кампаний, которую потом «просматривают» мертвые души ботнета.

• Как итог из рекламных бюджетов различных организаций вымывается до $5 млн. ежесуточно. Общий ущерб от деятельности подобных сетей по всему миру оценивается в $7 млрд в год, из которых только на Methbot может приходится от 1,1 до 1,8 млрд.

• По статистике, приводимой Wall Street Journal еще в 2013 году, около половина всех размещаемых в сети объявлений люди вообще никогда не видели. Из-за того, что показывались они ботам (если вообще показывались) с целью наживы.

25.04.2012  Евгений Касперский назвал 5 крупнейших киберугроз в мире:

• кибероружие, созданное специально с целью атак на какие-либо объекты. Например - вирус Stuxnet, который в 2010 г. атаковал ядерную инфраструктуру Ирана.

• использование социальных сетей для массового манипулирования людьми.

• если нынешние дети, выросшие в цифровом мире, не получат систему для онлайн-голосования, они физически не захотят никуда идти, чтобы проголосовать. В этом случае все демократическая политическая система будет разрушена.

• обычные хакерские атаки, которые становятся все более распространенными, переходя из настольных компьютеров к смартфонам и другим мобильным устройствам.

• исчезновение конфиденциальности вследствие развития социальных сетей и прочих сервисов такого рода.

24.07.2008 Более 75% американских банковских сайтов имеют уязвимости, которые подвергают риску сбережения, а также конфиденциальные данные клиентов (исследование "Analyzing Web Sites For User-Visible Security Design Flaws" Мичиганского университета).

Атул Пракаш (Atul Prakash, профессор, руководитель исследования): Недостатки обнаружены в структуре сайтов и организации их работы (размещение полей для ввода имени пользователя, пароля и другой личной информации на незащищенных страницах, автоматическая переадресация на ресурсы с отличным от банковского адресом, использование небезопасных паролей и логинов, отправка конфиденциальной информации в незашифрованном виде по электронной почте и т.д.).

Объем российского рынка информационной безопасности в 2007 году - $912 млн. Среднегодовой темп роста рынка информбезопасности - 45-50%.

20.10.2008 В Ecole Polytechnique Federale de Lausanne обнаружили возможность перехвата текстов, набираемых на проводной клавиатуре, с расстояния до 20 метров, в том числе через стены.

Электронные компоненты клавиатур излучают электромагнитные волны. Измерялись излучения при нажатии отдельных клавиш и анализировался электромагнитный спектр для идентификации нажатий. Все протестированные 11 моделей проводных клавиатур (PS/2, USB, ноутбучные и т.д.) оказались уязвимы.

18.07.2009 В Inverse Path, занимающейся системами безопасности доказали, что розетки могут быть инструментом для перехвата информации, которую пользователи вводят на клавиатурах своих компьютеров. Анализируя сигналы, поступающие в электросеть от подключенного к ней компьютера, исследователи смогли установить, какие именно символы набирались на клавиатуре и в какой последовательности на расстоянии до 15 метров от компьютера.

«Управление «К» МВД Республики Беларусь http://mvd.gov.by

«Управление «К» - управление по раскрытию преступлений в сфере высоких технологий МВД Республики Беларусь является самостоятельным оперативно–розыскным подразделением. Для него применяется условное наименование «управление «К».

Если за три года (1998—2000-й) было возбуждено три уголовных дела, связанных с использованием компьютерных технологий, то за 2006 год возбуждено 334.

«Управление «К» МВД Республики Беларусь предупреждает:

• о кражах через мобильник и Интернет;

• о Нигерийских письмах;

• о телефонном пиратстве;

• о кражах с банковских карт.

11.11.2008 Игорь Черненко (начальник управления К): Несколько граждан Беларуси задержаны в составе международной преступной группы, которая похитила с банковских счетов в США $40 млн. Всего в 2008 году в Беларуси было задержано 5 транснациональных групп, которые совершали преступления в сфере высоких технологий.

05.06.2009 Игорь Пармон (зам. начальника управления "К" МВД РБ):

07.04.2009 

Из интервью с Игорем Личко (начальником отдела технической поддержки портала):

Какая информация представляет интерес для тех, кто за ней охотится?

Как вы можете оценить уровень компьютерной грамотности белорусских пользователей?

Назовите, пожалуйста, какие-то "золотые правила безопасности" в Интернете. 

Нужно использовать комплексное программное обеспечение для защиты, своевременно его обновлять и быть предельно бдительным.

ЗДЕСЬ

За российского хакера Евгения Богачева ФБР назначило награду в $3 млн
https://www.fbi.gov/wanted/cyber/evgeniy-mikhailovich-bogachev

13.11.2008  Новый международный стандарт на систему информационной безопасности - ИСО/МЭК 27001 внедряется в Беларуси.

ИСО/МЭК 27001 определяет требования для создания, внедрения, поддержания в рабочем состоянии и улучшения системы менеджмента защиты информации в контексте общих деловых рисков организации. Применять его могут все организации, заинтересованные в обеспечении информационной безопасности.

ИСО/МЭК 27001 принят  в 2005 году с учетом процессов глобализации экономики, развития информационных технологий, обострения конкурентной борьбы Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) приняли этот стандарт.

В соответствии с данным стандартом сертифицировано более 6 000 компаний в 64 странах мира.

Лидирующие позиции здесь занимает Япония, существенно опережая другие страны.

24.05.2007

 Дидье Стивенс (Didier Stevens, специалист в области безопасности) выяснил, что даже прямая угроза компьютеру не может  перебороть готовность кликнуть на ссылку «жми сюда!!!».

Его объявление в Google «Ваш компьютер ещё чист от вирусов? Тогда заразите его здесь!» привело на сайт 409 посетителей.

Дидье Стивенс: За полгода моя реклама всплывала 260 тысяч раз, и по ней прошли 409 раз – в 0,16% случаев. Я специально создал максимально подозрительный дизайн своего объявления, но даже это не насторожило пользователей. Вся «рекламная кампания» обошлась мне в 23 $, по 6 центов за клик, т.е. за один потенциально зараженный компьютер.

15.09.2008

В университете Северной Каролины проверили реакцию студентов на всплывающие окна, которых попросили согласия на выполнение действий на компьютере.

Перед ними выскакивали диалоговые окна, один вид напоминал стандартное окно для системных сообщений Windows XP, а остальные три были очевидными подделками.

63% студентов просто нажимали кнопку "ОК", чтобы побыстрее избавиться от загораживающего обзор окна.
Поддельные всплывающие окна являются распространенным инструментом злоумышленников, с помощью которого они загружают на компьютеры пользователей вредоносные программы.

Майкл Уогэлтериз (руководитель проекта): Эксперимент доказывает, как легко обмануть пользователя. 

20.07.2009

Полиция Германии арестовала недалеко от Ганновера одного из двух британских мошенников, которые под видом сумок с ноутбуками продавали доверчивым покупателям картошку. Всего, по данным правоохранительных органов, злоумышленникам удалось обмануть около 40 человек. Полиция вышла на мошенников только после того, как их узнал один из обманутых покупателей.

18.03.2009 По данным Symantec:

• В Великобритании родители считают, что их дети проводят в онлайне 18,8 часа в неделю. Реальная же цифра составляет 43,5 часа.

• Во всём мире примерно 30% родителей устанавливает интернет-фильтры, чтобы держать детей вдали от опасного контента (в Великобритании 54%).

• 80% респондентов заявили, что абсолютно точно знают, чем их дети занимаются в Интернете. 31% детей считают, что родители не имеют об этом ни малейшего понятия.

• 75% родителей говорили со своими детьми о соблюдении правил безопасности в Сети.

• 33% детей заявили, что они включили своих родителей в число друзей на сайтах социальных сетей.

Мариан Мерритт (представитель Symantec): Наш опрос вовсе не имел своей целью подсказать родителям, что они должны стоять над ребенком с ремнем в руках, когда тот выходит в Интернет.  Интернет представляет собой прекрасное место для обучения и игр, но всё равно граница должна быть на замке.

06.04.2009

6 апреля 2009 года вступает в действие директива Европейского союза, предписывающая интернет-провайдерам сохранять данные о сетевой активности своих клиентов: об отправленных письмах, посещенных сайтах и совершенных через интернет телефонных звонках. 

Правительства стран ЕС приступили к включению директивы в национальные законодательства, только Швеция решила полностью проигнорировать директиву. 

Джим Киллок (исполнительный директор Open Rights Group): Норма является сумасшедшей и чревата опасными последствиями для граждан.

Почему выбор правоохранительных органов пал именно на них, в то время когда миллионы пользователей используют контрафактные программы неизвестно.

Теория социального похолодания Тимена Шепа рассматривает последствия информатизации.

• сегодня каждый человек, пользующийся цифровыми устройствами, является объектом слежки компаний (за его интересами, привычками, фактами жизни), зарабатывающих на переработке информации... Анализ их раскрывает предпочтения, взгляды, историю семьи и пр. Информацию о людях сдают в аренду или прямо продают, не зная, как покупатели ею воспользуются.

• Люди, понимая, что за ними следят меняют своё поведение. Общество становится конформистским (старается соответствовать доминирующему мнению, избегает рисков).

  • Теперь уже не каждый кликнет по ссылке с сомнительным содержимым, добавит в друзья людей, которые могут выставить его в невыгодном свете перед работодателем, сделает фото на пьяной вечеринке. Доктор не станет пытаться изобрести новое лекарство для больных, считающихся неизлечимыми (потому что смертность среди его пациентов будет выше и это сделает его неудачником в глазах тех окружающих, которые видят только цифры в досье). Мы знаем, что каждая песчинка информации может быть обращена против нас — и это заставляет нас вести себя по-другому.

• Последствия многообразны, в том числе:

  • из-за самоцензуры мы перестаём быть людьми: никогда раньше люди себя так не вели!

  • гасим творческую энергию: если люди сдерживают себя, стараются не выделяться, меньше будет и перспективных начинаний.

  • ставим под вопрос способность общества развиваться: общество всегда было движимо активистами
    Когда оно станет очевидным, будет уже поздно что-либо менять!

• Приватность — право человека быть несовершенным, совершать ошибки — право быть человеком.

https://www.pineapplejazz.com

https://www.socialcooling.com

Карта крупных кибератак: FireEye Cyber Threat Map

NIST (Национальный институт стандартов и технологии США, https://www.nist.gov/) рекомендует длинные парольные фразы.

В 2003 году создан стандарт NIST Special Publication 800-63B, который рекомендовал чередовать цифры, специальные символы, строчные и прописные буквы и периодически менять пароли.

Лорри Фейт Кранор (Lorrie Faith Cranor, http://lorrie.cranor.org/),  профессор Университета Карнеги-Меллон, надеется, что изучение платья, с 500 самыми популярными паролями в Сети, поможет окружающим людям осознать необходимость поменять свой слабый пароль.    Все пользователи каждый день тратят примерно 1300 человеко-лет на набор паролей.

Стандарт признан ошибочным (не способствуют повышению безопасности) и переработан в 2017 году.

В новых правилах

• нет требований использовать специальные символы,

• менять пароли рекомендуется только в том случае, если существует вероятность их компрометации.

• рекомендуется использование парольных фраз (их гораздо легче запомнить, причем даже фраза из четырёх произвольных слов обеспечивает надёжную защиту от брутфорса).