PCI DSS про пароли

Аккаунт локауты это дебильнейшая идея, застрявшая в индустрии на десятки лет. Прикиньте: допустим, йа подбираю пароль к вашему аккаунту на некотором сервисе, но этот контрол наказывает не меня, нет; он наказывает вас -- невозможностью залогониться в свой аккаунт, ггг, и использовать сервис. Сколько горькой иронии и параллелей с clown world сегодняшнего дня в этом контроле.

Фактически, это самоиндуцированное приглашение к ДоСу: все наши аккаунты могут быть залочены, включая аккаунты топов, а работа бизнеса парализована, вот простой способ для этого. Привет от Конфикера, бородатейший вирус 2008 года, ггг, но воз, как видим, там же в 2019 году.

Подобрать в разумное время сложный пароль, если мы не говорим о хотя бы десятках гига попыток в секунду (что, разумеется, невозможно для любого онлайн сервиса), затея тухлая.

Вместо этого, разумеется, нужно просто банить источник.



Другая дебильная идея с паролями это менять их раз в эн дней. Нахуя, блядь! Чтобы гарантировать невозможность запоминания юзером? Чтобы гарантировать использование юзером схем для паролей типа September2019! (полностью удовлетворяет требованиям complexity)? Чтобы беспомощный юзер был вынужден записывать всио в блокнот как делал раньше (не знаю, делает ли щас) мудак Шнайер или на приклеенные к монегу стикеры?

Если нет оснований полагать, что аккаунт скомпрометирован, то нет резона менять сложный пароль, точка.

Всё это происходит потому, что корпоративные инфобезнички тупы, конформны и инертны и не в курсе базовых понятий о поведении человека (кроме, мб, Митника, но он никогда не был корпоративным андроидом). Именно поэтому >90% случаев получения первоначального доступа осуществляются через соц. инженерию. И ПЦИ ДСС это имхо лучший фреймворк, хайтраст, для сравнения, это куча бюрократического говна на почти 1000 страниц.

На эту тему граф с реддита (даю ссылкой, т.к. большой):

http://lpine.org/wp-content/uploads/2019/09/time-to-crack-password-complexity.png