Новый подход: периодическая смена пароля ослабляет защиту

Новый подход: периодическая смена пароля ослабляет защиту

Национальный институт стандартов и технологий США (NIST), который устанавливает стандарты в сфере технологий для госструктур и частных компаний, выступил с предложением пересмотреть ряд устаревших и неэффективных правил, касающихся паролей. К ним относятся обязательная периодическая смена пароля, требования к его составу и использование контрольных вопросов. Ряд экспертов уже давно отмечают негативное влияние на безопасность множества общепринятых требований к паролям, однако банки, онлайн-сервисы и госагентства продолжают их использовать.

Выбор и хранение надежных паролей — одна из самых сложных задач в кибербезопасности. При этом многие правила, которые формально должны повышать уровень безопасности, на деле его снижают. Недавно NIST опубликовал обновленный проект стандарта SP 800-63-4 — документ, содержащий рекомендации по верификации цифровых идентичностей.

Прежде всего здравый смысл

В новой версии стандарта особое внимание уделено здравому смыслу в отношении паролей. Одно из важных предложений — отказ от практики регулярного принудительного изменения паролей. Эта практика берет начало в те времена, когда пароли часто были простыми и легко угадывались. Сейчас же при условии использования длинных и случайно сгенерированных паролей частая их смена снижает их эффективность, вынуждая пользователей создавать более простые комбинации для запоминания.

Еще одна устаревшая мера — требование включать в пароль разные типы символов: цифры, спецсимволы, строчные и прописные буквы. NIST считает, что при достаточной длине и случайном характере пароля такие требования не несут пользы, а могут даже привести к ослаблению пароля.

Рекомендации NIST

  • Пароли должны содержать минимум восемь символов, но предпочтительно — не менее 15.
  • Максимальная длина пароля должна составлять как минимум 64 символа.
  • В паролях должны приниматься любые символы ASCII и пробел, а также символы Юникода.
  • Не допускается хранение подсказок к паролям, доступных для неавторизованных пользователей.
  • Контрольные вопросы (например, «Имя первого питомца?») не должны использоваться для аутентификации.

Если новые стандарты NIST вступят в силу, они не станут обязательными для всех, однако могут повлиять на изменение подходов к формированию паролей в будущем.

«Детали», Ю.Л. Фото: Pixabay √



Будьте всегда в курсе главных событий:

Подписывайтесь на ТГ-канал "Детали: Новости Израиля"

Новости

Интервью с освобожденной заложницей получило «Эмми»
Иран пытается по суше переправить оружие "Хизбалле"
Кто они, боевики-шииты из Ирака, направившие дроны в Эйлат?

Популярное

В тылу объявлено чрезвычайное положение. От Хайфы до границы — новые инструкции Службы тыла

Вечером 21 сентября министр обороны Израиля Йоав Галант подписал приказ об объявлении в тылу чрезвычайного...

Стоит ли бежать избавляться от 200-шекелевых купюр?

За последние две недели предложенная группой специалистов мера полностью отменить купюры в 200 шекелей,...

МНЕНИЯ