Новые правила NIST для паролей

Не секрет, что выбираемые пользователями пароли зачастую неустойчивы. Но в ближайшей перспективе отказаться от них не удастся. А при столь огромном количестве веб-сайтов и онлайн-приложений, требующих заводить все новые и новые учетные записи, не удивительно, что пользователи придумывают пароли второпях, игнорируя советы специалистов по безопасности.

Вместе с тем растущие вычислительные мощности позволяют взламывать пароли все быстрее.

В связи с этим Национальный Институт Стандартов и Технологии (NIST) США сформулировал новые рекомендации для политик в отношении паролей (Special Publication 800-63-3: Digital Authentication Guidelines). И эти рекомендации предполагается внедрить в государственном секторе США.

В данном случае важно прежде всего то, что предпринята попытка сформулировать разумный шаблон для парольных политик организаций и программ разработки приложений.

Что нового

Задача заключается в том, чтобы сделать политики паролей удобными для пользователей. Пользователи не должны делать то, что фактически не усиливает безопасность.

Требования к паролю. В новых инструкциях NIST рекомендуется устанавливать длину пароля не менее восьми символов (без ограничений на максимальную длину). При этом должна быть обеспечена возможность использовать все печатные символы ASCII, пробелы и символы UNICODE. Кроме того, пароли должны проверяться с помощью частотных словарей, чтобы исключить такие широко употребляемые варианты, как Qwerty, ThisIsPassword и т. д.

Чего не нужно делать. Не нужно придумывать излишних правил для паролей, позволив пользователям выбирать не просто слова или наборы символов, а целые фразы вместе со знаками препинания. Не рекомендуется также предусматривать подсказки для вспоминания паролей (они упрощают взлом паролей) и вспомогательные вопросы для их восстановления (типа «В какой школе вы учились?», «Какой у ваших родителей почтовый индекс?»). А для того, чтобы пользователи выбирали сложный пароль, не нужно торопить их его менять.

Не рекомендуется также использовать SMS для подтверждения пароля. Увы, сегодня не так сложно подделать SIM-карту.

Что дальше

Пока это только рекомендации. Политики паролей должны развиваться, ведь люди используют их все чаще и чаще. Цель NIST в данном случае — дать нам возможность защититься без ненужной сложности, потому как излишняя сложность в вопросах безопасности очень часто приводит к ее ослаблению.

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции    Система Orphus

RSS: Новое в блогах на Anti-Malware.ru Новое в блогах