🔑 NIST предложил новые требования к паролям ради удобства пользователей.

• Национальный институт стандартов и технологий США (NIST) предложил пересмотреть некоторые требования к паролям, чтобы сделать их использование более удобным. Так, предлагается отказаться от обязательного сброса паролей, ограничений на использование определённых символов и контрольных вопросов.

• Институт предлагает больше не требовать от пользователей периодически менять пароли. Это требование исчерпало себя, так как сервисы внедряют использование более надёжных паролей из случайных символов или фраз. Их постоянная смена, напротив, мотивирует пользователей к тому, чтобы использовать более простые и легко запоминающиеся сочетания.

• Рекомендации NIST: ➡верификаторы и CSP (структуры, которые регистрируют аутентификаторы) не должны вводить другие правила составления паролей, в том числе о сочетании различных типов символов; ➡обязаны требовать, чтобы длина пароля составляла не менее восьми символов, а также могут требовать, чтобы она составляла не менее 15 символов; ➡должны разрешать максимальную длину пароля как минимум 64 символа; ➡должны позволять использовать в паролях все печатные символы ASCII [RFC20] и символ пробела; ➡должны принимать в паролях символы Unicode [ISO/ISC 10646], и каждый Unicode-символ должен учитываться как один символ; ➡не должны устанавливать иные правила составления паролей; ➡не должны требовать периодической смены паролей, однако верификаторы обязаны производить её принудительно, если есть доказательства компрометации; ➡не должны разрешать пользователям хранить подсказки, доступные неаутентифицированном лицам; ➡не должны предлагать пользователям использовать проверки на основе знаний или контрольные вопросы при выборе пароля; ➡обязаны проверять весь введённый пароль полностью.

• Если рекомендации NIST будут приняты к окончательной версии документа, то они не станут обязательными для всех, но могут мотивировать компании и организации к отказу от многих устаревших практик.

• К слову, что касается периодической смены паролей, то Microsoft еще в 2019 году убрали эти требования из базового уровня безопасности для персональных и серверных версий Windows 10. Об этом я уже упоминал вот тут: https://t.me/it_secur/2006