"Ваш пароль повинен містити як мінімум одну цифру, букву в верхньому регістрі, а також не-буквений символ", - ці та подібні вимоги до паролів, як і чинне в багатьох корпораціях правило міняти їх кожні кілька місяців, не взяті "зі стелі". Їх сформулював 15 років тому співробітник Національного інституту стандартів і технологій (NIST) США. І тепер він глибоко шкодує про скоєне.

У 2003-му році Білл Берр (Bill Burr) написав восьмістранічних керівництво про те, як правильно створювати безпечні паролі. На випущений NIST документ з тих пір орієнтувалися, визначаючи свою політику щодо призначених для користувача паролів, корпорації, банки та інтернет-сервіси. Саме в цьому документа сформульовані вимоги на кшталт обов'язкового використання в паролі букв різного регістру, цифр і рідкісних символів.

72-річний Берр зізнався в інтерв'ю The Wall Street Journal, що ніколи не був експертом з кібербезпеки, і ніколи толком не розбирався в паролі, не кажучи вже про психологічні аспекти кібербезпеки. За його словами, при підготовці свого керівництва він взяв за основу документ, написаний ще в 80-х. У ті роки до масового поширення інтернету було ще далеко, і ніхто не міг уявити, скільки різних паролів доведеться створювати і запам'ятовувати мільярдам людей на планеті.

Тепер рекомендації NIST помінялися. Замість відносно короткого, але складно запам'ятовується пароля з "абракадаброю" з цифр і символів інститут радить використовувати довгі фрази зі звичайних слів.

Адже зі збільшенням числа символів в паролі час, необхідний на його автоматизований підбір при зломі, зростає експоненціально.

Що стосується вимоги міняти пароль кожні кілька місяців, часто застосовується в корпоративних комп'ютерних системах, то воно також не сильно сприяє підвищенню безпеки. Переважна більшість користувачів, змінюючи пароль, просто замінюють в ньому один символ, як правило, цифру - в результаті підібрати його, знаючи старий варіант, можна дуже швидко.