Тренировка пользователей методом Павлова

Многие годы специалисты объясняют, что нужно использовать длинные и сложные пароли с высокой энтропией. К сожалению, большинство юзеров не выполняют эти рекомендации и всячески пытаются выбрать пароль полегче, даже если на сайте установлено обязательное требование использовать сочетание букв, цифр и специальных символов.

Оригинальный способ привить людям правильное поведение предложил Лэнс Джеймс (Lance James) из ИБ-подразделения компании Deloitte & Touche. Он назвал свою систему управлением паролями по методу Павлова. Концепция состоит в том, что пользователя принуждают менять пароль с периодичностью, которая зависит от сложности пароля. Чем легче пароль — тем чаще его придётся менять. Например, владельца пароля test123@# заставят менять его раз в три дня, а если тот же пользователь выберет t3st123@##$x — то система не будет его беспокоить три месяца.

Расчёт Лэнса Джеймса сделан с учётом времени, необходимого для брутфорса парольного хэша в офлайне. Пароль вроде test123@# подбирается примерно за 4,5 дня, так что если пользователя заставят менять его чаще, то безопасность парольной базы сохраняется даже в случае утечки данных.

По идее, у людей со временем выработается условный рефлекс на использование сильных паролей, чтобы не пришлось постоянно прикладывать усилия к смене пароля.

Конечно, можно поступить проще и вообще запретить использование слабых паролей на сайте, но в этом случае тренировочный эффект будет не столь явно выражен. В долговременной перспективе важно, чтобы пользователи надёжно и навсегда усвоили полезную привычку.