Americký Národní institut standardů a technologií (NIST) připravil druhý nefinální návrh nových pravidel zabezpečení, který je povinný pro federální úřady a doporučený pro všechny ostatní včetně soukromých firem. Magazín ArsTechnica si všiml, že odpadají některé nesmyslné požadavky, které ve výsledky ochranu spíš zhoršují.
NIST konkrétně navrhuje následující body:
- Hesla MUSÍ mít alepsoň 8 znaků a MĚLA BY mít alespoň 15 znaků.
- MĚLO BY se podporovat ukládání hesel s minimálně 64 znaky.
- V heslech BY MĚLO být možné používat všechny tisknutelné znaky ASCII a Unicode. Každý kód Unicode se MUSÍ posuzovat jako samostatný znak.
- U hesel NESMÍ být podmínky na složení, například povinná kombinace běžných znaků, číslic a zvláštních symbolů.
- NESMÍ SE vynucovat pravidelné změna hesel. Hesla se MUSÍ povinně měnit, jen pokud došlo ke kompromitování účtu.
- NESMÍ se ukládat nápověda k heslu, která je přístupná neautentizovanému uživateli.
- NESMÍ se používat autentizace založená na znalostech (např. „Jak se jmenoval váš první mazlíček?“) nebo bezpečnostní otázky při výběru hesel.
- V systémech se MUSÍ ověřovat heslo v celé délce, nikoliv jen jeho část.
V nových pravidlech se teď explicitně píše, co organizace spravující autentizační systémy musí, nesmí a měly by. A v některých případech se mění zažité zvyky. Po zrušené povinnosti na bezpečnostní otázky nebo pravidelnou změnu hesel, po nichž experti už dlouho volali, je překvapivou změnou také rušení komplexity hesel. V praxi se totiž ukazuje, že dostatečně dlouhé heslo je stejné silné nebo silnější než to používající zvláštní symboly (typicky @ ! ? " # $ % & ' * + , - . / : ; ). Dlouhé heslo sestavené z vět se navíc může lépe pamatovat a lépe se zapisuje.
Zdroj: NIST via ArsTechnica