«Рабочая память, это не просто ограничение, это главная лазейка для обхода требований регулятора. Ты можешь выполнить все формальные требования ФСТЭК и при этом получить систему, которая не работает, потому что люди не в состоянии с ней взаимодействовать. Самое опасное в регуляторике — думать о технологии, забыв о людях» .

Memory и password management: когнитивные ограничения

Почему правильные пароли никто не использует

Требования регуляторов к парольной политике звучат разумно: длина от 12 символов, обязательные заглавные буквы, цифры, специальные знаки, запрет на повторное использование, ежеквартальная смена. С точки зрения криптографии и ФСТЭК, это создаёт устойчивый к взлому барьер. Но есть нюанс: эти требования вступают в конфликт с устройством человеческой памяти.

Рабочая память человека — оперативная система сознания — способна удерживать и обрабатывать в среднем 7±2 информационных блока. Сложный, случайный пароль, это уже один полный блок. Если пароли меняются часто, их становится несколько. Мозг не может хранить множество таких бессмысленных последовательностей в долговременной памяти без постоянного повторения, а повторять их некогда и неудобно. В результате возникает один из двух сценариев: либо человек записывает пароли на стикер, либо начинает использовать предсказуемые паттерны. В обоих случаях формальное соответствие требованиям сохраняется, а реальная безопасность стремится к нулю.

Этот разрыв между теорией и практикой — не вина пользователей. Это системная ошибка проектирования, когда требования строятся исходя из идеальных условий, а не из реальных когнитивных ограничений.

Рабочая память: ненадёжный интерфейс

Для понимания проблемы нужно различать виды памяти. Долговременная память надёжна, но медленна для записи: чтобы туда что-то поместить, нужны многократные повторения и смысловая связность. Рабочая память — быстрая, но крайне ограниченная по объёму и нестабильная. Любое отвлечение, стресс или параллельная задача легко вытесняют из неё содержимое.

Процесс аутентификации почти всегда задействует именно рабочую память. Человек вводит пароль, который он помнит «здесь и сейчас». Если этот пароль сложен и не используется ежедневно, он быстро забывается. Возникает парадокс: самые безопасные с точки зрения политики пароли становятся самыми небезопасными на практике, потому что вынуждают пользователя искать способы их обхода.

Политики смены паролей: миф о пользе ротации

Одно из самых спорных требований в 152-ФЗ и рекомендациях ФСТЭК — периодическая обязательная смена паролей. Логика, стоящая за ним, проста: если пароль был скомпрометирован, злоумышленник получит доступ только на ограниченный срок. Однако современные исследования в области безопасности показывают, что эта практика приносит больше вреда, чем пользы.

При частой смене паролей пользователи не изобретают новые, по-настоящему сложные комбинации. Вместо этого они применяют предсказуемые трансформации: добавляют к старому паролю цифру месяца (например, Password01, Password02), меняют регистр одной буквы или ставят в конце восклицательный знак. Такие пароли легко подобрать, если известен предыдущий.

Более того, частая смена увеличивает когнитивную нагрузку, повышает вероятность записи пароля на бумаге или в незашифрованном файле, а также провоцирует раздражение и негативное отношение ко всем мерам безопасности. Регуляторные требования, направленные на усиление защиты, на деле ослабляют её, создавая иллюзию контроля.

Альтернативы, которые работают с памятью, а не против неё

Система не должна бороться с человеческой природой, а использовать её особенности. Есть несколько подходов, которые снижают нагрузку на память, одновременно повышая безопасность.

Менеджеры паролей и двухфакторная аутентификация

Единственный надёжный способ работать с десятками сложных паролей — не запоминать их. Менеджеры паролей (например, KeePass) полностью снимают с пользователя когнитивную нагрузку, генерируя и храня криптостойкие комбинации. В этом случае человеку нужно запомнить только один главный мастер-пароль — и это разумный объём для рабочей памяти.

Двухфакторная аутентификация добавляет второй, независимый фактор — токен, SMS, приложение-аутентификатор или биометрию. Это кардинально меняет ситуацию: даже если сложный пароль будет записан на стикере, доступ без второго фактора получить не удастся. Таким образом, безопасность перестаёт зависеть исключительно от способности человека хранить в голове криптографические ключи.

Использование фраз-паролей

Другой подход — переход от коротких сложных паролей к длинным, но простым для запоминания фразам-паролям. Например, «КошкаСидитНаОкнеВМарте!» содержит более 20 символов, буквы в разном регистре, цифры (подразумеваемые) и спецсимвол. Для долговременной памяти такая осмысленная фраза — естественный объект. Её проще запомнить один раз, и она обладает высокой энтропией для перебора.

Что в итоге должен делать проектировщик системы защиты?

Проектирование системы безопасности, которая будет реально использоваться, требует уступок. Бездумное следование формальным требованиям без учёта человеческого фактора ведёт к созданию уязвимостей.

• Сместить фокус с «сложности пароля» на «стойкость к взлому всей системы аутентификации». Добиться этого можно через обязательное внедрение двухфакторной аутентификации для доступа к критичным системам.
• Пересмотреть политику обязательной ротации паролей. Для большинства сценариев безопаснее требовать смену пароля только при подозрении на компрометацию, а не по календарю.
• Разрешить и рекомендовать использование менеджеров паролей. Это должно быть закреплено во внутренних регламентах как рекомендуемая или даже обязательная практика для сотрудников, работающих с конфиденциальной информацией.
• Узаконить фразы-пароли в политиках. Вместо требований к обязательному наличию спецсимволов и цифр установить минимальную длину (например, 20 символов) и проверку на наличие в словарях.
• Инвестировать в обучение. Объяснять сотрудникам не только «что» нужно делать, но и «почему» это важно, а также давать им рабочие инструменты (менеджеры паролей), а не просто набор запретов.

Когнитивные ограничения — не оправдание для слабой безопасности. Это инженерное ограничение, такое же, как пропускная способность канала или вычислительная мощность. Его нельзя игнорировать при проектировании. Грамотная система защиты строится с учётом этого ограничения, обходя слабости человеческой памяти технологическими и процедурными решениями. В противном случае самый надёжный с точки зрения ФСТЭК пароль окажется написанным на листочке под клавиатурой.