NIST: Политика применения паролей должна стать более дружественной

Национальный институт стандартов и технологий США (National Institute for Standards and Technology, NIST) представил для правительственных организаций новые рекомендации по использованию паролей. Для удобства пользователей консультант NIST, ИБ-специалист Джим Фентон вкратце и по существу изложил новые рекомендации института.

Прежде всего специалисты рекомендуют сделать политику применения паролей для пользователей дружественной. А именно: перестать требовать от них выполнение ненужных действий, никак не усиливающих безопасность. Выводы, полученные в ходе исследований, говорят о том, что “лучшие практики” по усилению защиты зачастую неэффективны и не стоят затраченных времени и сил.

NIST рекомендует устанавливать восьми-символьные пароли. Помимо этого, специалисты уверены, что допустимый максимум длины пароля нужно увеличить до 64 символов.

В приложениях должно разрешаться использование всех символов ASCII, в том числе пробелов, и UNICODE, включая эмодзи. Также рекомендуется использование парольных фраз, что означает возможность выбирать любые существующие знаки препинания и любой язык. Перед установкой пароля, NIST советует проверить его наличие в словаре ненадежных паролей.

Исследователи считают, что не нужно устанавливать правила по составлению пароля (например, обязывать использовать в них одну заглавную букву, одну строчную, одну цифру и несколько знаков, но не &%#@_). Вместо этого позволить пользователям свободно выбирать парольные фразы. Это избавит от сложности придумывать сложные для запоминания, но все равно ненадежные комбинации, такие как pA55w+rd.

Не рекомендуется пользоваться подсказками для пароля. Также неэффективной, по мнению специалистов NIST, является аутентификация при помощи ответов на вопросы, которые пользователь дал заранее.

Рекомендуется не устанавливать срок истечения действия пароля, если только для этого нет острой необходимости. Учетные данные советуют изменять только если они были забыты, похищены с помощью фишинга или взломаны.

Также, как уже сообщалось ранее, NIST рекомендует отказаться от использования SMS-сообщений в двухфакторной аутентификации из-за проблем с безопасностью их доставки (устройство может быть заражено вредоносным ПО, перенаправляющим сообщения злоумышленникам, хакеры могут атаковать сеть оператора связи и так далее).

Источник http://www.securitylab.ru/