Я использую Bitwarden для личных и рабочих целей, и очень им доверяю. Недавно на работе они изменили политики безопасности и теперь пароль для входа в Windows при включении компьютера должен быть не менее 20 символов, включать заглавные, строчные буквы, символы и цифры. Кроме того, пароль нельзя использовать ранее, и его нужно менять каждые 6 месяцев.
Проблема в том, что вручную вводить такой сложный пароль каждый раз при включении или блокировке компьютера очень утомительно и занимает много времени.
Даже если я использую мнемонические правила, пароль всё равно долгий и трудно вводится каждый раз. Может ли Bitwarden помочь в этом случае? Какие есть альтернативы?
То же самое касается корпоративного VPN, хотя в этом случае появляется всплывающее окно, из которого я могу скопировать и вставить пароль из Bitwarden.
Это хорошее использование парольной фразы. Вам придется переписать его с мобильного клиента Bitwarden на экран входа; Bitwarden в этом не поможет. Но фраза вроде Mustard-Acronym-Schedule5-Uprising будет гораздо проще запомнить и ввести.
Откройте командное окно, введите net accounts и проверьте значение “Лимит блокировки” (максимальное число попыток входа, после которых учетная запись заблокирована). Стандартное значение — 10. Разделите это число на 60 миллионов — получаете вероятность, что ваша учетная запись может быть взломана методом brute-force, если пароль — это две слова — парольная фраза (например, если лимит блокировки 10, то вероятность успешной атаки составляет менее одного на миллион).
Это должно дать вам достаточно оснований сделать ваш пароль Windows случайной двухсловной парольной фразой с добавленным немножко случайным заполнением, чтобы соответствовать произвольным правилам пароля о длине, цифрах, регистре и т. д. (например, poncho-singing-2024Q3). Если доверяете NIST больше, чем корпоративной ИТ-команде, то можете оставить часть парольной фразы постоянной и просто менять заполнитель в конце, когда нужно менять пароль через 6 месяцев (например, poncho-singing-2025Q1) — если только вы не подозреваете, что пароль могли скомпрометировать, тогда лучше сгенерировать новую двухсловную парольную фразу.
Bitwarden не поможет с паролем входа в Windows. Поможет продукт вроде OnlyKey (или даже серия Yubikey 5).
Если нужен PIN для Windows, который уже защищен TPM, то то, что они требуют, кажется полностью чрезмерным. В этом случае я бы советовал обойтись:
- сгенерировать случайную парольную фразу из 3 слов (в среднем 21 символ), все строчные буквы, разделенные пробелом. Если вы быстро набираете вслепую, это очень удобно.
- Просто добавить все остальное, что требуют, в конец. Включить заглавную букву, цифру и специальный символ.
Их политика паролей кажется устаревшей:
- принуждение использовать строчные, заглавные, цифры и символы — только заставит людей делать то, что я предложил во втором пункте. (можно вставить необходимые символы вначале или между словами)
- требование менять пароль каждые 6 месяцев без причины — только заставит людей жульничать, как смогут, чтобы запомнить свои пароли: написав на бумажке, повторяя слова и т. д.
И дальше они захотят знать, почему у всех на экране записки с паролями!
Да, безопасность не должна идти в ущерб удобству.