Национальный институт стандартов и технологий (NIST) собирается отказаться от ряда старых и непростых требований к паролям для американских государственных структур.
Среди требований, которые намерен отменить институт, — обязательная смена паролей, секьюрити-вопросы и использование определенных символов для создания надежных паролей.
Уникальные и сложные пароли
Хорошая практика в области кибербезопасности предполагает использование уникальных и сложных паролей для обеспечения максимального уровня безопасности. Однако, если вы не используете один из лучших менеджеров паролей, их может быть сложно запомнить.
Прощай, сложные пароли
В документе SP 800-63-4, который разработал NIST и который устанавливает основы для организаций, взаимодействующих с федеральными структурами, агентство убрало требование периодически менять пароли. Первоначально эта мера вводилась для борьбы с утечками паролей: если пароль меняется, то старые учетные данные уже не смогут использовать злоумышленники.
Однако на практике это приводило к тому, что люди использовали легко запоминающиеся пароли, просто изменяя специальные символы или увеличивая числа в конце. Генераторы паролей уже практически свели эту практику на нет, поскольку необходимая длина, специальные символы и сложность могут быть определены пользователем.
Упрощение требований к паролям
NIST также удаляет требование использования специальных символов и сочетания строчных и прописных букв в паролях. Разумеется, если появляется доказательство того, что учетные данные могли быть скомпрометированы, организация должна добиться смены пароля.
Отказ от знаний основанной аутентификации
Кроме того, будет запрещено использование аутентификации на основе знаний, таких как запоминаемые места и секьюрити-вопросы. Больше не потребуется помнить имя первого питомца или отчество брата, чтобы сбросить пароль. Документ SP 800-63-4 находится только на втором этапе разработки и может еще измениться, но уже сейчас видно, что практика использования паролей может измениться к лучшему.
(Источник: ArsTechnica)
Источник: TechRadar
