NIST пропонує змінити вимоги до паролів

Національний інститут стандартів і технологій США (The National Institute of Standards and Technology, NIST), федеральна установа, що встановлює технологічні стандарти для урядових установ, організацій зі стандартизації та приватних компаній, виступив з ініціативою змінити деякі правила, що стосуються паролів. Зокрема, запропоновано відмовитись від обов’язкового скидання паролів, обмеження на використання певних символів та контрольних питань.

Що відомо

Часто буває складно дотримуватись вимог щодо створення паролів, встановлені роботодавцями, федеральними органами та онлайн-сервісами. Часто ці правила, задумані підвищення безпеки, насправді можуть її порушувати. Однак досі необхідність їхнього дотримання залишалася актуальною.

У вересні представники NIST опублікували другу публічну чернетку проекту SP 800-63-4, останньої версії Digital Identity Guidelines, де представлені технічні вимоги та рекомендації для ідентифікації цифрових даних в інтернеті. Організації, які працюють з федеральним урядом США онлайн, повинні дотримуватися цих рекомендацій.

Розділ, присвячений паролям, містить безліч правил, що суперечать сучасним нормам. Наприклад, пропонується відмовитись від вимоги періодично змінювати паролі.

Вимога була введена давно, коли безпека паролів була слабо вивчена, і користувачі часто вибирали слова, що легко вгадуються. З часом більшість сервісів почали вимагати більш надійних паролів, що складаються з випадкових символів або фраз. Відомо, що примусова зміна паролів (раз на один-три місяці) може погіршити безпеку, оскільки багато хто буде використовувати слабші паролі.

Ще одна рекомендація, яка вважається шкідливою на думку NIST, це обов’язкове використання певних символів у паролі. Якщо пароль досить довгий і випадковий, такі обмеження стають зайвими.

Оновлені рекомендації NIST вказують, що деякі практики слід заборонити, щоб відповідати стандартам:

• Не вводити правила складання паролів, які потребують певних типів символів;
• Не вимагати періодичної зміни паролів.

Ці нові рекомендації не будуть обов’язковими для всіх, але можуть стати підставою для відмови від застарілих практик.