Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST), федеральный орган, устанавливающий технологические стандарты для правительственных учреждений, организаций по стандартизации и частных компаний, предложил пересмотреть некоторые из требований к паролям. В частности, предлагается отказаться от обязательного сброса, требований или ограничений на использование определенных символов, а также контрольных вопросов.
Дело в том, что зачастую весьма затруднительно соблюдать правила в отношении паролей, установленные работодателями, федеральными органами и онлайн-сервисами. Часто эти правила, якобы призванные повысить уровень безопасности, на самом деле подрывают ее, однако соблюдение этих правил все равно никто не отменял.
В сентябре представители NIST опубликовали второй публичный черновик проекта SP 800-63-4, последней версии Digital Identity Guidelines. Помимо прочего, в этом документе содержатся технические требования и рекомендации для методов определения достоверности цифровых идентификационных данных, используемых для аутентификации в интернете. Организации, которые взаимодействуют с федеральным правительством США в онлайне, обязаны соблюдать эти требования.
Раздел, посвященный паролям, содержит большое количество правил, противоречащих общепринятым на сегодня нормам. К примеру, предлагается не требовать от конечных пользователей периодически менять пароли.
Это требование появилось несколько десятилетий назад, когда безопасность паролей еще была плохо изучена, и люди часто выбирали в качестве паролей имена и простые слова, которые можно было легко угадать. С тех пор большинство сервисов стали требовать использования более надежных паролей, состоящих из случайных символов или фраз. Если пароли подобраны правильно, требование периодически менять их (раз в один-три месяца), может привести к снижению уровня безопасности, поскольку уже известно, что это лишь стимулирует пользователей к использованию более слабых паролей, которые им проще придумывать и запоминать.
Еще одно требование, которое, по мнению NIST, приносит больше вреда, чем пользы, это обязательное использование в пароле определенных символов или запрет на них. Например, пароль должен содержать как минимум одну цифру, один специальный символ, одну заглавную и одну строчную букву. Если пароли сами по себе достаточно длинные и случайные, такие ограничения тоже не приносят никакой пользы.
В итоге обновленные рекомендации NIST гласят, что некоторые практики должны быть запрещены, если организация хочет соответствовать стандартам:
- верификаторы и CSP не должны вводить другие правила составления паролей (например, требовать сочетания различных типов символов);
- верификаторы и CSP не должны требовать от пользователей периодической смены паролей.
В данном случае «верификаторы» — это бюрократическая формулировка для обозначения организаций, которые проверяют личность владельца учетной записи, подтверждая его аутентификационные данные. А CSP — это доверенная структура, которая назначает или регистрирует аутентификаторы для владельцев учетных записей.
Также обновленный документ содержит ряд других рекомендаций:
- верификаторы и CSP обязаны требовать, чтобы длина пароля составляла не менее восьми символов, и могут требовать, чтобы длина пароля составляла не менее 15 символов;
- верификаторы и CSP должны разрешать максимальную длину пароля как минимум 64 символа;
- верификаторы и CSP должны позволять использовать в паролях все печатные символы ASCII [RFC20] и символ пробела;
- верификаторы и CSP должны принимать в паролях символы Unicode [ISO/ISC 10646], и каждый Unicode-символ должен учитываться как один символ при оценке длины пароля;
- верификаторы и CSP не должны устанавливать иные правила составления паролей (например, требовать сочетания различных типов символов);
- верификаторы и CSP не должны требовать от пользователей периодической смены паролей, однако верификаторы обязаны производить принудительную смену паролей, если есть доказательства компрометации аутентификатора;
- верификаторы и CSP не должны разрешать пользователям хранить подсказки, доступные неаутентифицированном лицам;
- верификаторы и CSP не должны предлагать пользователям использовать проверки на основе знаний (Knowledge-based authentication, например, «Как звали вашего первого питомца?») или контрольные вопросы при выборе пароля;
- верификаторы обязаны проверять весь введенный пароль полностью (то есть не усекать его).
Новые рекомендации NIST, если они будут приняты к окончательной версии документа, не будут обязательными для всех, однако они могут стать убедительными аргументами в пользу отказа от многих устаревших практик.
