Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

NIST предлагает пересмотреть ряд устаревших правил, касающихся паролей

27/09/24

hack14

К ним относятся обязательная периодическая смена пароля, требования к его составу и использование контрольных вопросов, пишет Securitylab.

Выбор и хранение надёжных паролей является одной из самых сложных задач в кибербезопасности. Однако многие правила, которые формально должны повышать уровень безопасности, на деле снижают его. Недавно NIST опубликовал обновлённый проект стандарта SP 800-63-4 — огромный документ, содержащий рекомендации по верификации цифровых идентичностей.

В новой версии стандарта особое внимание уделено здравому смыслу в отношении паролей. Одно из важных предложений — отказ от практики регулярного принудительного изменения паролей. Эта практика берёт начало в те времена, когда пароли часто были простыми и легко угадывались. Сейчас же, при условии использования длинных и случайно сгенерированных паролей, частая смена снижает их эффективность, вынуждая пользователей создавать более простые комбинации для запоминания.

Ещё одна устаревшая мера — требование включать в пароль разные типы символов: цифры, спецсимволы, строчные и прописные буквы. NIST считает, что при достаточной длине и случайном характере пароля, такие требования не несут пользы, а могут даже привести к ослаблению защиты.

В новом проекте NIST говорится следующее:

  • Верификаторы и провайдеры удостоверяющих сервисов (CSP) не должны вводить дополнительные правила составления пароля (например, комбинацию разных типов символов).
  • Верификаторы и CSP не должны требовать периодической смены паролей, за исключением случаев подтверждённой компрометации.

Другие рекомендации NIST включают:

  • Пароли должны содержать минимум 8 символов, но предпочтительно — не менее 15.
  • Максимальная длина пароля должна составлять как минимум 64 символа.
  • В паролях должны приниматься любые символы ASCII и пробел, а также символы Юникод.
  • Не допускается хранение подсказок к паролям, доступных для неавторизованных пользователей.
  • Контрольные вопросы (например, «Имя первого питомца?») не должны использоваться для аутентификации.

Ряд экспертов уже давно отмечают негативное влияние на безопасность множества общепринятых требований к паролям. Однако банки, онлайн-сервисы и госагентства продолжают их использовать. Если новые стандарты NIST вступят в силу, они не станут обязательными для всех, однако могут повлиять на изменение подходов к формированию паролей в будущем.

Кроме того, NIST приглашает всех заинтересованных направить свои комментарии, замечания или пожелания на электронный адрес « dig-comments@nist.gov » до 7 октября, 23:59 по восточному времени США.
Темы:ОтрасльпаролиМнения экспертовNISTкибербезопасность
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...