Эксперты из Национального института стандартов и технологий США (NIST) раскритиковали существующие правила по созданию и применению паролей. По словам специалистов, комбинации из символов и букв, а также требование регулярно менять кодовые фразы, больше не являются эффективной практикой повышения уровня безопасности.
NIST выпустил рекомендацию, в которой предлагает отказаться от упоминаемых выше требований. Кроме того, эксперты предлагают не использовать подход KBA (Knowledge-based authentication), когда аутентификация происходит при предоставлении каких-либо данных, якобы известных лишь конкретному пользователю; в NIST также не считают эффективным использование «секретных вопросов» для верификации юзеров: всю эту информацию можно легко получить с помощью социальной инженерии.
Эксперты предполагают, что длинные пароли сложнее для взлома, чем пароли с обязательной заглавной буквой. Чередование же разных символов, которые должны усилить пароль, на деле превращают его в более слабый, считают в NIST: чтобы запомнить сочетания, пользователи выбирают упрощенные паттерны, а их легко предугадать.
Что касается постоянной смены пароля, это приводит к постепенному упрощению сочетаний символов. Теперь рекомендуется менять пароль лишь в случае его компрометации.
Из требований и рекомендаций, которые в NIST считают актуальными, указаны следующие:
— пароль должен быть длиной не менее восьми символов;
— рекомендуемая длина — не менее 15 символов.
Кроме того, предлагают увеличить максимальную длину пароля минимум до 64 символов.
Также предлагают разрешить использовать в паролях символы ASCII и Unicode.
В NIST предложили создать черный список заведомо слабых и популярных паролей, использовать которые нельзя. Вероятно, тогда «123456» уйдет из списка самых популярных кодовых слов.
Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро