Новый подход: периодическая смена пароля ослабляет защиту
Национальный институт стандартов и технологий США (NIST), который устанавливает стандарты в сфере технологий для госструктур и частных компаний, выступил с предложением пересмотреть ряд устаревших и неэффективных правил, касающихся паролей. К ним относятся обязательная периодическая смена пароля, требования к его составу и использование контрольных вопросов. Ряд экспертов уже давно отмечают негативное влияние на безопасность множества общепринятых требований к паролям, однако банки, онлайн-сервисы и госагентства продолжают их использовать.
Выбор и хранение надежных паролей — одна из самых сложных задач в кибербезопасности. При этом многие правила, которые формально должны повышать уровень безопасности, на деле его снижают. Недавно NIST опубликовал обновленный проект стандарта SP 800-63-4 — документ, содержащий рекомендации по верификации цифровых идентичностей.
Прежде всего здравый смысл
В новой версии стандарта особое внимание уделено здравому смыслу в отношении паролей. Одно из важных предложений — отказ от практики регулярного принудительного изменения паролей. Эта практика берет начало в те времена, когда пароли часто были простыми и легко угадывались. Сейчас же при условии использования длинных и случайно сгенерированных паролей частая их смена снижает их эффективность, вынуждая пользователей создавать более простые комбинации для запоминания.
Еще одна устаревшая мера — требование включать в пароль разные типы символов: цифры, спецсимволы, строчные и прописные буквы. NIST считает, что при достаточной длине и случайном характере пароля такие требования не несут пользы, а могут даже привести к ослаблению пароля.
Рекомендации NIST
- Пароли должны содержать минимум восемь символов, но предпочтительно — не менее 15.
- Максимальная длина пароля должна составлять как минимум 64 символа.
- В паролях должны приниматься любые символы ASCII и пробел, а также символы Юникода.
- Не допускается хранение подсказок к паролям, доступных для неавторизованных пользователей.
- Контрольные вопросы (например, «Имя первого питомца?») не должны использоваться для аутентификации.
Если новые стандарты NIST вступят в силу, они не станут обязательными для всех, однако могут повлиять на изменение подходов к формированию паролей в будущем.
«Детали», Ю.Л. Фото: Pixabay √
- Читайте также:
- Ethiopian airlines тянет небо на себя
- Air Haifa запускает рейсы из Хайфы в Ларнаку
- Странно, но факт: с начала войны израильский экспорт туристических услуг из месяца в месяц растет
Будьте всегда в курсе главных событий:
Подписывайтесь на ТГ-канал "Детали: Новости Израиля"