NIST: Inkább hosszú legyen a jelszó, mint bonyolult
Éveken keresztül úgy tűnt, hogy a szakemberek a rendkívül összetett, tehát nagy- és kisbetűket, számokat és szimbólumokat kombináló jelszavakat ajánlják, de jelen állás szerint a komplexitásra való törekvés kontraproduktív, és valójában gyengíti a biztonságot a gyakorlatban.
A szervezetek információs rendszereinek védelmét segítő Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) szeptemberben új irányelveket fogalmazott meg az ajánlott jelszókezelési gyakorlatokkal kapcsolatban az SP 800-63-4 második nyilvános tervezetének részeként, amely a digitális identitásokra vonatkozó irányelvek legújabb verziója.
Az intézet szerint az elterjedt tanács, miszerint a jelszavak megválasztásakor érdemes a komplexitásra törekedni, és keverni a karaktertípusokat a megválasztott kódsor rendszeres változtatása mellett, már nem feltétlen állja meg a helyét. Így nem ajánlja már azt sem, hogy a szervezetek 60-90 naponként változtassanak jelszavakat. Ezen felül követelménnyé válik, hogy a CSP-k nem használhatnak tudásalapú hitelesítést (KBA), tehát olyan hitelesítő adatokat, amelyeket a felhasználó ismer (PIN, személyes azonosító számok), vagy biztonsági kérdéseket a jelszavak megadásakor.
Miért kritikus a Patch & Asset Management a kibervédelemben? (x) Az adatszivárgások jelentős része megakadályozható lenne, ha a szervezetek időben telepítenék a szoftverfrissítéseket.
A frissített útmutatás az összetettségre vonatkozó szabályoktól eltávolodva a hosszabb jelszavak használatára bátorít: megköveteli, hogy a jelszavak legalább nyolc karakterből álljanak, de a legjobb a 15 karakteres hossz. A CSP-knek engedélyezniük kell az akár 64 karakteres jelszó megadásának lehetőségét is, ahogy az ASCII és Unicode karakterek támogatását. Az ajánlás azon az elméleten alapul, hogy a jelszó erősségének növelése szempontjából a hosszúságra való fókuszálás hatékonyabb lehet az emberi tényező miatt is, mint a komplexitás.
Ezek valójában olyan alapelvek, amelyeket az állami és magánszervezetek, köztük az Egyesült Államok Szövetségi Kereskedelmi Bizottsága és a Microsoft már régóta ajánlanak, a NIST legutóbb 2020-ban adta ki a jelszavakra vonatkozó ajánlást. Az eddigi tanulmányok szerint a felhasználók gyakran nehezen emlékeznek az összetett jelszavakra, ami arra készteti őket, hogy több webhelyen újrahasználják a jelszavakat, vagy a könnyen megjegyezhető mintákat alkalmazzák, például a betűket hasonló kinézetű számokra vagy szimbólumokra cseréljék.