Национальный институт стандартов и технологий США (NIST) предложил пересмотреть некоторые требования к паролям, чтобы сделать их использование более удобным. Так, предлагается отказаться от обязательного сброса паролей, ограничений на использование определённых символов и контрольных вопросов.
NIST опубликовал второй публичный черновик проекта SP 800-63-4, последней версии Digital Identity Guidelines. В нём содержатся технические требования и рекомендации для методов определения достоверности цифровых идентификационных данных для аутентификации в интернете.
Институт предлагает больше не требовать от пользователей периодически менять пароли. Это требование исчерпало себя, так как сервисы внедряют использование более надёжных паролей из случайных символов или фраз. Их постоянная смена, напротив, мотивирует пользователей к тому, чтобы использовать более простые и легко запоминающиеся сочетания.
Также NIST предлагает отменить требование об использовании в паролях определённых символов, либо запрет на них. Если пароли сами по себе достаточно длинные и случайные, то такие ограничения не приносят никакой пользы.
Вот как выглядят рекомендации NIST:
верификаторы и CSP (структуры, которые регистрируют аутентификаторы) не должны вводить другие правила составления паролей, в том числе о сочетании различных типов символов;
обязаны требовать, чтобы длина пароля составляла не менее восьми символов, а также могут требовать, чтобы она составляла не менее 15 символов;
должны разрешать максимальную длину пароля как минимум 64 символа;
должны позволять использовать в паролях все печатные символы ASCII [RFC20] и символ пробела;
должны принимать в паролях символы Unicode [ISO/ISC 10646], и каждый Unicode-символ должен учитываться как один символ;
не должны устанавливать иные правила составления паролей;
не должны требовать периодической смены паролей, однако верификаторы обязаны производить её принудительно, если есть доказательства компрометации;
не должны разрешать пользователям хранить подсказки, доступные неаутентифицированном лицам;
не должны предлагать пользователям использовать проверки на основе знаний или контрольные вопросы при выборе пароля;
обязаны проверять весь введённый пароль полностью.
Если рекомендации NIST будут приняты к окончательной версии документа, то они не станут обязательными для всех, но могут мотивировать компании и организации к отказу от многих устаревших практик.
В феврале компания Data Leakage & Breach Intelligence представила анализ утёкших пар почты и паролей за 2023 год. Он включает около 44 млн новых уникальных учётных записей. Всего отчёт насчитывает 5,52 млрд уникальных учётных записей. Топ-10 самых популярных паролей из утечек за 2023 год включал сочетания 123456, 123456789,1000000, 12345678, 12345, 123123, 1234567890, 123123qwe, qwerty и Qwerty123.
Источник: habr.com