Не секрет, что выбираемые пользователями пароли зачастую неустойчивы. Но в ближайшей перспективе отказаться от них не удастся. А при столь огромном количестве веб-сайтов и онлайн-приложений, требующих заводить все новые и новые учетные записи, не удивительно, что пользователи придумывают пароли второпях, игнорируя советы специалистов по безопасности. Вместе с тем растущие вычислительные мощности позволяют взламывать пароли все быстрее.
В связи с этим Национальный Институт Стандартов и Технологии (NIST) США сформулировал новые рекомендации для политик в отношении паролей (Special Publication 800-63-3: Digital Authentication Guidelines). И эти рекомендации предполагается внедрить в государственном секторе США.
В данном случае важно прежде всего то, что предпринята попытка сформулировать разумный шаблон для парольных политик организаций и программ разработки приложений.
Что нового
Задача заключается в том, чтобы сделать политики паролей удобными для пользователей. Пользователи не должны делать то, что фактически не усиливает безопасность.
Требования к паролю. В новых инструкциях NIST рекомендуется устанавливать длину пароля не менее восьми символов (без ограничений на максимальную длину). При этом должна быть обеспечена возможность использовать все печатные символы ASCII, пробелы и символы UNICODE. Кроме того, пароли должны проверяться с помощью частотных словарей, чтобы исключить такие широко употребляемые варианты, как Qwerty, ThisIsPassword и т. д.
Чего не нужно делать. Не нужно придумывать излишних правил для паролей, позволив пользователям выбирать не просто слова или наборы символов, а целые фразы вместе со знаками препинания. Не рекомендуется также предусматривать подсказки для вспоминания паролей (они упрощают взлом паролей) и вспомогательные вопросы для их восстановления (типа «В какой школе вы учились?», «Какой у ваших родителей почтовый индекс?»). А для того, чтобы пользователи выбирали сложный пароль, не нужно торопить их его менять.
Не рекомендуется также использовать SMS для подтверждения пароля. Увы, сегодня не так сложно подделать SIM-карту.
Что дальше
Пока это только рекомендации. Политики паролей должны развиваться, ведь люди используют их все чаще и чаще. Цель NIST в данном случае — дать нам возможность защититься без ненужной сложности, потому как излишняя сложность в вопросах безопасности очень часто приводит к ее ослаблению.
