Компании
2 октября 2024
Автор: Анна Мигинеишвили
NIST предлагает изменить требования к паролям
Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST), федеральное учреждение, устанавливающее технологические стандарты для правительственных учреждений, организаций по стандартизации и частных компаний, выступил с инициативой изменить некоторые из правил, касающихся паролей. В частности, предложено отказаться от обязательного сброса паролей, ограничения на использование определенных символов и контрольных вопросов.
Часто бывает сложно соблюсти требования по созданию паролей, установленные работодателями, федеральными органами и онлайн-сервисами. Часто эти правила, задуманные для повышения безопасности, на самом деле могут её нарушать. Однако до сих пор необходимость их соблюдения оставалась актуальной.
В сентябре представители NIST опубликовали второй публичный черновик проекта SP 800-63-4, последней версии Digital Identity Guidelines, где представлены технические требования и рекомендации для идентификации цифровых данных в интернете. Организации, работающие с федеральным правительством США онлайн, должны следовать этим рекомендациям.
Раздел, посвященный паролям, содержит множество правил, которые противоречат современным нормам. Например, предлагается отказаться от требования периодически менять пароли.
Требование было введено давно, когда безопасность паролей была слабо изучена, и пользователи часто выбирали легкоугадываемые слова. С течением времени большинство сервисов начали требовать более надежные пароли, состоящие из случайных символов или фраз. Известно, что принудительная смена паролей (раз в один-три месяца) может ухудшить безопасность, так как многие будут использовать более слабые пароли.
Еще одна рекомендация, считающаяся вредной по мнению NIST, это обязательное использование определенных символов в пароле. Если пароль достаточно длинный и случайный, подобные ограничения становятся излишними.
Обновленные рекомендации NIST указывают, что некоторые практики следует запретить, чтобы соответствовать стандартам:
— Не вводить правила составления паролей, требующих определенных типов символов;
— Не требовать периодической смены паролей.
Эти новые рекомендации не будут обязательными для всех, но могут послужить основанием для отказа от устаревших практик.
Ранее ITinfo сообщало, что Илон Маск заявил, что новый имплант Neuralink, получивший название «Blindsight», позволит незрячим людям, даже тем, кто не видел с рождения, обрести зрение.