Regulile privind utilizarea sau limitarea anumitor caractere sunt, de asemenea, pe blocul de tocare
Asta are sens: Ce este mai agravant decât să-ți schimbi parola periodic? Am lucrat pentru o companie care o cere o dată la trei luni, plus că aveau toate aceste reguli despre ce putea și nu putea conține parola. Autoritățile de reglementare standard declară acum că majoritatea regulilor de acreditare sunt învechite și inutile.
Institutul Național de Standarde și Tehnologie (NIST) a propus noi standarde de acreditare pe care dorește să le adopte. Cea de-a doua versiune a Publicației Speciale 800-63-4 este postată pe site-ul web NIST, în așteptarea feedback-ului publicului cu privire la parola sugerată și ghidurile de autentificare.
Structura standardelor nu este absurdă, dar zboară în fața regimului de parole enervant pe care îl folosesc multe companii și agenții. Unele exemple includ obligarea resetărilor parolei, limitarea utilizării caracterelor, necesitatea anumitor combinații de caractere și utilizarea întrebărilor de securitate. Aceste cerințe sunt în mare măsură inutile. Sunt relicve învechite, provenind dintr-o perioadă în care internetul era încă nou și majoritatea oamenilor nu înțelegeau igiena de securitate adecvată.
Încurajați-i pe cei dragi să schimbe frecvent parolele, făcându-le lungi, puternice și unice. Mai multe sfaturi: https://t.co/VhTCLCdf9j. #ChatSTC
– FTC (@FTC) 27 ianuarie 2016
După cum a indicat Microsoft în 2019 Security Baseline, multe dintre aceste reguli promovează de fapt rău igiena de securitate. De exemplu, solicitarea angajaților să-și schimbe parolele îi încurajează frecvent să folosească parole mai slabe, care sunt mai ușor de reținut sau creat și, prin urmare, mai ușor de spart. FTC este de acord.
Același lucru este valabil și pentru regulile care solicită caractere specifice, cum ar fi „parolele trebuie să conțină cel puțin opt caractere cu cel puțin o literă mare și minusculă, un simbol special (cum ar fi punctuația) și cel puțin un număr”. Aceste restricții stricte tind să-i determine pe oameni să folosească parole precum BigToe@1 (un fost coleg a folosit-o de fapt pe aceea).
Deși oricine este liber să citească și să comenteze SP 800-63-4, este o lectură provocatoare și lungă, datorită tuturor limbajului birocratic și explicațiilor îndelungate. Este atât de încărcat încât organizația a considerat că este necesar să dedice o secțiune definirii semnificațiilor cuvintelor „shall, should not”, „should”, „shouldn” și alți termeni simpli. Documentul se rezumă la nouă cerințe și sugestii.
Verificatori de parole sau furnizori de servicii de verificare:
- Parolele trebuie să aibă minimum opt caractere, dar trebuie să necesite minimum 15 caractere.
- Ar trebui să permită o lungime maximă a parolei de cel puțin 64 de caractere.
- Ar trebui să accepte toate caracterele ASCII de tipărire și caracterul spațiu din parole.
- Ar trebui să accepte caractere Unicode în parole. Fiecare punct de cod Unicode va fi numărat ca un singur caracter atunci când se evaluează lungimea parolei.
- Nu va impune alte reguli de compunere (de exemplu, care necesită amestecuri de diferite tipuri de caractere) pentru parole.
- Nu va solicita utilizatorilor să schimbe parolele periodic. Cu toate acestea, verificatorii forțează o modificare dacă există dovezi de compromis a autentificatorului.
- Nu va permite abonatului să stocheze un indiciu care este accesibil unui reclamant neautentificat.
- Nu vor solicita abonaților să folosească autentificarea bazată pe cunoștințe (KBA) (de exemplu, „Care a fost numele primului tău animal de companie?”) sau întrebări de securitate atunci când aleg parole.
- Va verifica întreaga parolă trimisă (adică, nu o trunchiază).
Regula opt este destul de sensibilă, având în vedere nebunia presupunerii că hackerii nu ar putea ști sau nu-și pot da seama de mascota de liceu sau de numele de fată a unei ținte. Cu toate acestea, numărul șapte pare a fi un Catch-22. Puteți vedea indicația de parolă numai dacă sunteți autentificat, dar nu puteți fi autentificat dacă nu vă puteți aminti parola fără indiciu. În afară de asta, liniile directoare par a fi bunul simț, ceea ce mi se pare lipsit în general în zilele noastre.
NIST guvernează standardele în cadrul guvernului și nu are autoritate de aplicare asupra companiilor private. De exemplu, se asigură că toți hidranții de incendiu folosesc fitinguri standardizate și furnizează aceeași cantitate de apă indiferent de locul în care mergeți, precum și standarde de întreținere.
În general, doar agențiile guvernamentale și companiile sau organizațiile care au legătură directă cu guvernul sunt supuse acestor reguli. De exemplu, IRS trebuie să adopte liniile directoare NIST, dar Meta le poate ignora. Acestea fiind spuse, multe standarde NIST ajung la organizațiile private din industriile în care se aplică regulile. Cadrul de securitate cibernetică NIST este un bun exemplu.