Откуда взялось требование менять пароли каждые X дней

На Pluralsight есть короткий курс, посвящённый актуальным на 2017-й год угрозам безопасности, и в контексте стойкости паролей там упоминалась интересная история.

В далёком 1979-м году эксперт по криптографии (и по совместительству отец создателя первого червя) Роберт Моррис старший и канадский учёный Брайан Керниган ради интереса тестировали стойкость тогдашних алгоритмов шифрования.

Для этого они использовали институтский PDP-8 и пытались взломать файл с паролями, зашифрованными рекомендованным на то время алгоритмом DES.
Занимались они этим по выходным и брутфорсили без всяких кластеров на одном компьютере. В результате им удалось взломать пароли оттуда за 31 день (видимо лишь некоторые, потому что согласно вики сам алгоритм требует намного больших усилий для взлома).

Отсюда взялось требование менять пароль каждые 30 дней. Потом оно попало в Оранжевую книгу и оттуда расползлось по корпоративным системам.

С тех пор прошло много лет, алгоритмы шифрования поменялись, мощности процессоров многократно выросли, но мы так и продолжаем вынужденно менять пароль каждые 30 / 60 / 90 дней, как настроил администратор домена.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *