NIST готовит руководство, упрощающее правила для паролей

NIST

Согласно мнению экспертов из NIST (Национальный институт стандартов и технологий), некоторые требования к паролям, прочно засевшие в наших головах, на самом деле не такие уж и полезные. Более того, порой они даже идут во вред.

Текущий черновик руководства по цифровой идентификации раскрывает некоторый изменения, которые появятся в следующем году. Эти рекомендации очень важны, так как им следуют в большинстве государственных служб и компаний по всему миру.

Некоторые важные изменения:

  • Длина пароля должна быть не менее 8 символов;
  • Организации должны позволять использовать пароли длинной до 64 и более символов;
  • Все символы ASCII или Unicode должны быть разрешены (в том числе пробел);
  • Организации не должны урезать пароли;
  • При генерации начальных паролей организации должны использовать генератор случайных битов. Длина такого пароля должна быть не менее 6 символов;
  • При создании или изменении пароля организации могут сравнивать новый пароль с другими паролями, полученными из предыдущих нарушений, словарными словами, повторяющимися или последовательными символами, а также контекстными словами (имена пользователей, имена, производные);
  • Организации должны использовать систему, которая ограничивает количество неудачных попыток логина;
  • Организации не должны использовать правила композиции (смешивание различных типов символов);
  • Организации не должны требовать у пользователей регулярно менять пароли.

Эти изменения показывают ослабление строгости к правилам для паролей. Это ослабление появилось на фоне нескольких изучений, которые показали, что чем сложнее правила, тем более простой пароль выбирают пользователи.

Также NIST рекомендует компаниям использовать многофакторную аутентифицкаию: использование паролей, SMS, биометрических данных и так далее.

Кстати, совсем недавно мы писали о том, что большинство правил для паролей бесполезны — узнайте, какие всё же стоит использовать.

Источник: Bleeping Computer