Запоминать пароли станет в разы проще – будут отменены самые нелепые и бессмысленные правила их создания. Опрос
Национальный институт стандартов и технологий предложил радикально скорректировать и упростить правила создания и пользования паролями. Многие из них действительно раздражают, а некоторые, например, требование включать в пароль специальные символы, как ни парадоксально, делает их более менее защищенными от подбора.
Долой бессмысленные правила
Национальный институт стандартов и технологий США (National Institute of Standards and Technology, NIST) предложил полностью запретить некоторые из самых бессмысленных (nonsensical) правила создания паролей и их использования, пишет портал Ars Technica. Активнее всего он выступает против регулярной смены пароля, а также обязательного использования в них специальных символов. В не меньшей степени NIST желает искоренить практику использования ответа на контрольные вопросы при процедуре аутентификации пользователя.
У NIST есть возможность влиять на подобные фундаментальные правила работы интернета, которыми люди руководствуются не годами – десятилетиями. Это федеральный орган, устанавливающий технологические стандарты для правительственных агентств, организаций по стандартизации и частных компаний.
Все уже почти готово
Эксперты NIST не стали ограничиваться простым голословным предложением – они подготовили специальный документ, отражающий суть их идей. Это обновленный проект стандарта SP 800-63-4 – вторая версия документа, содержащая рекомендации по цифровой верификации и состоящая из 35 тыс. слов. Этот стандарт устанавливает как технические требования, так и рекомендуемые способы определения действительности методов, используемых для аутентификации цифровых идентификаторов в интернете.
Раздел документа, посвященный паролям, внедряет массу крайне необходимых практик в работе с паролями, продиктованных здравым смыслом, и каждая из них бросает вызов общепринятым нормам, пишет Ars Technica. Например: новые правила запрещают внедрять на сайтах и во внутренних системах требование о том, чтобы конечные пользователи периодически меняли свои пароли. Это требование возникло несколько десятилетий назад, когда надежность паролей была на крайне низком уровне. Тогда пользователи использовали в качестве пароля связанные с ними имена, даты, а также словарные слова и все то, что можно легко угадать ил подобрать.
Все изменилось
В современном мире подавляющее большинство сервисов попросту не дадут пользователю зарегистрироваться, если тот придумает слишком простой пароль, и потребуют усложнить его. Пользователи стали намного чаще пользоваться сгенерированными паролями, состоящими из бессмысленного набора символов.
Если заставлять пользователей регулярно менять пароли, это создает дополнительную нагрузку на них, поскольку им нужно не только придумать новую комбинацию, но еще и запомнить ее. Как результат – большинство стараются использовать как можно более простые пароли, которые проще удержать в голове, что в итоге бьет по общей безопасности.
Также авторы нового стандарта предложили убрать требование о наличии в пароле специальных символов – цифр, знаков препинания, а также минимум одной заглавной буквы и пр. Аргументировали он это тем, что когда пароли достаточно длинные и сгенерированы случайным образом, использование спецсимволов не несет никакой пользы. Наоборот, такие пароли сложнее запомнить, и это возвращает к тому, что люди опять будут стремиться создавать максимально простые комбинации, чтобы не забывать их.
Многие аналитики также сходятся во мнении, что сейчас к паролям предъявляется слишком большое суммарное количество требований, и это тоже негативно сказывается на безопасности. Но это совершенно не мешает сервисам заваливать пользователей этими требованиями, заставляя их придумывать все более длинные и сложные пароли.
Что еще нужно скорректировать
Подготовленный NIST документ содержит массу упрощений. В частности, в нем сказано, что «верификаторы» и провайдеры удостоверяющих сервисов (credential service provider, CSP) не должны устанавливать новые правила генерирования пароля, (например, использование различных типов символов).
«Верификаторы» — это бюрократическое выражение, означающее организацию, которая проверяет личность владельца счета, подтверждая его учетные данные.
Также Верификаторы и CSP не должны требовать от пользователей периодически менять пароли, за исключением случаев подтвержденной компрометации.
Есть в новом документе и ряд правил, которые верификаторы и CPS, напротив, обязаны применять к паролям. В частности, они должны требовать, чтобы пароли имели длину 8 символов, а лучше – все 15. Также они обязаны разрешить использовать пароли длиной 64 символов и более.
Еще одно обязательное требование – нужно позволить пользователям использовать в паролях любые символы «Юникод» и ASCII, а также пробел.
Наряду с перечисленным предлагается запретить сервисам предоставлять неавторизованным пользователям доступ к подсказкам для паролей. Запрет предлагается распространить еще и на контрольные вопросы (например, «Как звали вашего первого питомца?») для аутентификации пользователя.
Новый документ NIST пока не принят. Институт принимает комментарии к нему от всех пользователей – отзыв можно прислать до 7 октября 2024 г. включительно.