По западной статистике двухлетней давности, 4,7% пользователей выбирают в качестве пароля слово “password”, 8,5% — “password” или “123456”, 10 самых популярных паролей покрывают 14% всей пользовательской базы (40% — топ-100, 79% — топ-500, 91% — топ-1000).
При создании сайта было бы вполне логично составить список общеупотребительных паролей и запретить их при регистрации пользователя. Казалось бы, вполне логичная идея, но… к сожалению, процесс аутентификации в ИТ покрывается множеством патентов, пишет консультант по ИТ-безопасности Марк Бернетт (Mark Burnett). Они описывают самые очевидные, общеизвестные и обыденные техники. Похоже, абсолютно все возможные аспекты выбора пароля, процесса аутентификации, хранения и восстановления информации защищены одним или несколькими патентами.
- Система контроля доступа к защищённой системе путём проверки
- Указание набора запрещённых паролей
- Предотвращение ввода тривиальных сочетаний символов
- Метод и аппарат проверки силы пароля
- Метод и система проактивной валидации паролей
- Метод, система и среда хранения для определения тривиальных сочетаний символов в предложенных паролях
- Аппарат и метод определения качества пароля и разнообразия
И это только один аспект использования паролей, а ведь есть ещё восстановление забытых паролей, безопасная переустановка пароля, использование одноразовых паролей, блокировка аккаунта, генерация произносимых паролей, парольные подсказки и даже резервные пароли (бэкдоры от производителя). Вообще, юристы могут сказать даже, что этот патент описывает суть самого пароля вообще, если не считать prior art в искусстве, а именно — в сказке про Али-Бабу («Сезам, откройся»).
Вообще удивительно, как ловкие предприниматели сумели зарегистрировать такое большое количество патентов на эту тему. Наверное, их вообще не должны были выдавать. Хорошо ещё, если они принадлежат крупным корпорациям вроде IBM, которые наверняка не будут подавать в суд на каждую мелкую фирму. Но что, если за дело примутся патентные тролли?
Это наглядный пример, как патенты наносят прямой ущерб информационной безопасности компьютерных систем, а значит, всем пользователям.
