NIST готовит руководство, упрощающее правила для паролей
Новости
Возможно, придумывать пароли скоро станет проще. NIST (Нацинститут стандартов и технологий) подготовил черновик с изменениями в правилах для паролей.
813 открытий824 показов
Согласно мнению экспертов из NIST (Национальный институт стандартов и технологий), некоторые требования к паролям, прочно засевшие в наших головах, на самом деле не такие уж и полезные. Более того, порой они даже идут во вред.
Текущий черновик руководства по цифровой идентификации раскрывает некоторый изменения, которые появятся в следующем году. Эти рекомендации очень важны, так как им следуют в большинстве государственных служб и компаний по всему миру.
Некоторые важные изменения:
- Длина пароля должна быть не менее 8 символов;
- Организации должны позволять использовать пароли длинной до 64 и более символов;
- Все символы ASCII или Unicode должны быть разрешены (в том числе пробел);
- Организации не должны урезать пароли;
- При генерации начальных паролей организации должны использовать генератор случайных битов. Длина такого пароля должна быть не менее 6 символов;
- При создании или изменении пароля организации могут сравнивать новый пароль с другими паролями, полученными из предыдущих нарушений, словарными словами, повторяющимися или последовательными символами, а также контекстными словами (имена пользователей, имена, производные);
- Организации должны использовать систему, которая ограничивает количество неудачных попыток логина;
- Организации не должны использовать правила композиции (смешивание различных типов символов);
- Организации не должны требовать у пользователей регулярно менять пароли.
Эти изменения показывают ослабление строгости к правилам для паролей. Это ослабление появилось на фоне нескольких изучений, которые показали, что чем сложнее правила, тем более простой пароль выбирают пользователи.
Также NIST рекомендует компаниям использовать многофакторную аутентифицкаию: использование паролей, SMS, биометрических данных и так далее.
Кстати, совсем недавно мы писали о том, что большинство правил для паролей бесполезны — узнайте, какие всё же стоит использовать.
813 открытий824 показов