NIST предлагает обновления в правилах создания паролей для повышения безопасности

NIST выступает за упрощение правил создания паролей NIST предлагает отказаться от обязательной периодической смены паролей. Эта практика, зародившаяся во времена простых паролей, теперь может снижать эффективность защиты, вынуждая пользователей создавать более легкие для запоминания комбинации. Институт рекомендует отменить требование включать в пароль разные типы символов. NIST считает, что при достаточной длине и случайном характере пароля такие требования не повышают безопасность. Новые рекомендации предлагают установить минимальную длину пароля в 8 символов, но предпочтительно не менее 15. Максимальная длина пароля должна составлять как минимум 64 символа. #кибербезопасность #NIST #пароли #стандартыбезопасности

Национальный институт стандартов и технологий США NIST предлагает пересмотреть устаревшие правила безопасности паролей Частая смена паролей приводит к созданию более слабых комбинаций. Также институт выступает против использования контрольных вопросов. Новые рекомендации: — установить минимальную длину пароля в 8 символов а лучше 15 — использовать любые символы ASCII и Юникода — не хранить подсказки к паролям — мои пароли — это почти произведение искусства, и они соответствуют рекомендациям — у меня вроде бы неплохие пароли, но, честно говоря, иногда использую одну и ту же комбинацию для разных сервисов — если бы не функция «восстановить пароль», не знаю, как бы у меня получалось справляться [ цифровой океан ] ____________________ Как поставить пароль на приложение на iPhone и Android: КАК ПОСТАВИТЬ ПАРОЛЬ НА ПРИЛОЖЕНИЕ?

Официально можно не тратить часы на создание сложных паролей. В Национальном институте стандартов и технологий NIST обновили гайдлайны безопасности паролей, отказавшись от самых надоедливых правил. Институт считает, что спецсимволы $, % и т.д. абсолютно не нужны. Вместо них лучше разрешить пробелы и символы Unicode, а минимальной длиной пароля стоит сделать 15 знаков. Контрольные вопросы и постоянная смена паролей, кстати, тоже бесполезны.

В NIST решили обновить рекомендации по составлению паролей. Здоровенный документ с переливанием из пустого в порожнее и разжевыванием прописных истин целиком осилить можно только если у вас бессонница, но он лежит тут. По мнению специалистов NIST под нож нужно пустить требование о регулярной смене пароля. Логика в целом понятная: регулярно менять пароли утомительно, юзеры от этого увиливают и создают дыру в безопасности, ставя пароли аля vasya2008 sanyaLeto и т.п. Та же участь ждет и спецсимволы. А значит в слитых базах будут реже встречасться , Alex$ и Alex! Основное внимание уделяется длинне пароля и его устойчивости к подбору по разным маскам и словарикам для брута, вроде недавно нашумевшего RockYou. Поскольку NIST организация за океаном влиятельная, вполне возможно, что через годик-другой парольные политики крупных сервисов начнут меняться. Пока же это просто обновленный взгляд на старую тему.

Умный помощник, который всегда под рукой

Национальный институт стандартов и технологий NIST США предложил внести существенные изменения в «Руководство по цифровой идентификации», направленные на борьбу с устаревшими и неэффективными политиками паролей, которые часто ставят под угрозу безопасность. В последней версии SP 800−63−4 NIST предлагает запретить обязательный сброс пароля, ненужные ограничения на количество символов и некоторые контрольные вопросы.

NIST обновляет свое руководство по цифровой идентификации и аутентификации NIST SP 800-63 Digital Identity Guidelines , в котором есть ооооочень интересные изменения В частности, NIST вновь подтверждает, что хватит уже требовать от пользователей менять пароли через регулярные интервалы времени, так как это не имеет никакого смысла, так как пользователи все равно не сильно напрягаются при смене пароля и просто увеличивают на единицу цифру в конце пароля Поэтому пароли надо менять только в двух случаях - при компрометации и при запросе самого пользователя. Это требование было сформулировано еще в версии руководства 2020-го года, а теперь его расширили новыми интересными пунктами. В частности, при вводе пароля необходимо разрешать использование пробела, ‍ так как это естественно для пользователя, а для компьютера - это просто еще один символ. Нельзя навязывать смешение в пароле различных символов разные регистры, цифры и буквы , а также сохранять парольные подсказки, доступные неаутентифицированным субъектам И, тадам, нельзя пользователям использовать подсказки или секретные вопросы, базирующиеся на легко узнаваемом знании имя вашего первого питомца, девичья фамилия матери и т.п. . Дело за малым - выбросить старые рекомендации, которыми уже все засрали мозг, и начать жить в удобном и безопасном мире!

Прощайте, сложные пароли! В Национальном институте стандартов и технологий NIST обновили гайдлайны безопасности паролей, отказавшись от самых надоедливых правил. Теперь институт рекомендует использовать пробелы и символы Unicode вместо спецсимволов $, % и т.д. . Минимальная длина пароля должна составлять 15 знаков. Также, контрольные вопросы и постоянная смена паролей признаны бесполезными.