Забудьте всё, что вы знали о надёжных паролях: NIST переписывает стандарты
NewsMakerНеужели регулярная смена пароля и правда может навредить безопасности?
Национальный институт стандартов и технологий США ( NIST ), который устанавливает стандарты в сфере технологий для госструктур и частных компаний, выступил с предложением пересмотреть ряд устаревших и неэффективных правил, касающихся паролей. К ним относятся обязательная периодическая смена пароля, требования к его составу и использование контрольных вопросов.
Выбор и хранение надёжных паролей является одной из самых сложных задач в кибербезопасности. Однако многие правила, которые формально должны повышать уровень безопасности, на деле снижают его. Недавно NIST опубликовал обновлённый проект стандарта SP 800-63-4 — огромный документ, содержащий рекомендации по верификации цифровых идентичностей.
В новой версии стандарта особое внимание уделено здравому смыслу в отношении паролей. Одно из важных предложений — отказ от практики регулярного принудительного изменения паролей. Эта практика берет начало в те времена, когда пароли часто были простыми и легко угадывались. Сейчас же, при условии использования длинных и случайно сгенерированных паролей, частая смена снижает их эффективность, вынуждая пользователей создавать более простые комбинации для запоминания.
Ещё одна устаревшая мера — требование включать в пароль разные типы символов: цифры, спецсимволы, строчные и прописные буквы. NIST считает, что при достаточной длине и случайном характере пароля, такие требования не несут пользы, а могут даже привести к ослаблению пароля.
В новом проекте NIST говорится следующее:
Кроме того, NIST приглашает всех заинтересованных направить свои комментарии, замечания или пожелания на электронный адрес « [email protected] » до 7 октября, 23:59 по восточному времени США.
Национальный институт стандартов и технологий США ( NIST ), который устанавливает стандарты в сфере технологий для госструктур и частных компаний, выступил с предложением пересмотреть ряд устаревших и неэффективных правил, касающихся паролей. К ним относятся обязательная периодическая смена пароля, требования к его составу и использование контрольных вопросов.
Выбор и хранение надёжных паролей является одной из самых сложных задач в кибербезопасности. Однако многие правила, которые формально должны повышать уровень безопасности, на деле снижают его. Недавно NIST опубликовал обновлённый проект стандарта SP 800-63-4 — огромный документ, содержащий рекомендации по верификации цифровых идентичностей.
В новой версии стандарта особое внимание уделено здравому смыслу в отношении паролей. Одно из важных предложений — отказ от практики регулярного принудительного изменения паролей. Эта практика берет начало в те времена, когда пароли часто были простыми и легко угадывались. Сейчас же, при условии использования длинных и случайно сгенерированных паролей, частая смена снижает их эффективность, вынуждая пользователей создавать более простые комбинации для запоминания.
Ещё одна устаревшая мера — требование включать в пароль разные типы символов: цифры, спецсимволы, строчные и прописные буквы. NIST считает, что при достаточной длине и случайном характере пароля, такие требования не несут пользы, а могут даже привести к ослаблению пароля.
В новом проекте NIST говорится следующее:
- Верификаторы и провайдеры удостоверяющих сервисов (CSP) не должны вводить дополнительные правила составления пароля (например, комбинацию разных типов символов).
- Верификаторы и CSP не должны требовать периодической смены паролей, за исключением случаев подтверждённой компрометации.
- Пароли должны содержать минимум 8 символов, но предпочтительно — не менее 15.
- Максимальная длина пароля должна составлять как минимум 64 символа.
- В паролях должны приниматься любые символы ASCII и пробел, а также символы Юникод.
- Не допускается хранение подсказок к паролям, доступных для неавторизованных пользователей.
- Контрольные вопросы (например, «Имя первого питомца?») не должны использоваться для аутентификации.
Кроме того, NIST приглашает всех заинтересованных направить свои комментарии, замечания или пожелания на электронный адрес « [email protected] » до 7 октября, 23:59 по восточному времени США.