Эксперты раскритиковали требования к паролям. Вот что предлагают взамен

8726
02 октября 2024 в 17:00

Эксперты из Национального института стандартов и технологий США (NIST) раскритиковали существующие правила по созданию и применению паролей. По словам специалистов, комбинации из символов и букв, а также требование регулярно менять кодовые фразы, больше не являются эффективной практикой повышения уровня безопасности.

NIST выпустил рекомендацию, в которой предлагает отказаться от упоминаемых выше требований. Кроме того, эксперты предлагают не использовать подход KBA (Knowledge-based authentication), когда аутентификация происходит при предоставлении каких-либо данных, якобы известных лишь конкретному пользователю; в NIST также не считают эффективным использование «секретных вопросов» для верификации юзеров: всю эту информацию можно легко получить с помощью социальной инженерии.

Эксперты предполагают, что длинные пароли сложнее для взлома, чем пароли с обязательной заглавной буквой. Чередование же разных символов, которые должны усилить пароль, на деле превращают его в более слабый, считают в NIST: чтобы запомнить сочетания, пользователи выбирают упрощенные паттерны, а их легко предугадать.

Что касается постоянной смены пароля, это приводит к постепенному упрощению сочетаний символов. Теперь рекомендуется менять пароль лишь в случае его компрометации.

Из требований и рекомендаций, которые в NIST считают актуальными, указаны следующие:

— пароль должен быть длиной не менее восьми символов;

— рекомендуемая длина — не менее 15 символов.

Кроме того, предлагают увеличить максимальную длину пароля минимум до 64 символов.

Также предлагают разрешить использовать в паролях символы ASCII и Unicode.

В NIST предложили создать черный список заведомо слабых и популярных паролей, использовать которые нельзя. Вероятно, тогда «123456» уйдет из списка самых популярных кодовых слов.

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро