Национальный институт стандартов и технологий США (National Institute for Standards and Technology, NIST) выпустил для правительственных организаций новые рекомендации по использованию паролей. Для удобства пользователей консультант NIST, ИБ-эксперт Джим Фентон (Jim Fenton) представил презентацию, вкратце и по существу объясняющую новые рекомендации института. Прежде всего эксперты рекомендуют сделать политику применения паролей дружественной для пользователей. Другими словами, нужно перестать требовать от них выполнять ненужные действия, никак не улучшающие безопасность. Как показывают исследования, "лучшие практики", направленные на усиление защиты, в большинстве случаев неэффективны и не стоят затраченных сил и времени. Согласно новым рекомендациям NIST, длина пароля должна быть не менее восьми символов. Кроме того, специалисты уверены в необходимости увеличить допустимый максимум длины пароля до 64 символов (так что больше никаких уведомлений наподобие "Извините, длина вашего пароля не должна превышать 16 символов"). Данный совет весьма полезный, поскольку пароли должны храниться в хешированном виде с добавлением соли (не менее 32 битов) и ограничение длины не должно быть обязательным. В приложениях должно разрешаться использование всех символов ASCII, в том числе пробелов, и UNICODE, включая эмодзи. Также рекомендуется использовать парольные фразы, а значит, у пользователей должна быть возможность выбирать любые существующие знаки препинания и любой язык. Прежде чем установить пароль, NIST советует проверить его наличие в словаре ненадежных паролей. По мнению экспертов, не нужно устанавливать правила по составлению пароля (например, обязывать использовать в них одну заглавную букву, одну строчную, одну цифру и несколько знаков, но не &%#@_). Лучше позволить пользователям свободно выбирать парольные фразы, а не заставлять придумывать сложные для запоминания, но все равно ненадежные комбинации, такие как pA55w+rd. Не рекомендуется использовать подсказки для пароля. Также неэффективной по мнению экспертов NIST является аутентификация с помощью ответов на вопросы, которые пользователь дал заранее. Согласно рекомендациям, не нужно без особой необходимости устанавливать срок истечения действия пароля. Учетные данные рекомендуется изменять только в случае, если они были забыты, похищены с помощью фишинга или взломаны. Что интересно, NIST рекомендует отказаться от использования SMS-сообщений в двухфакторной аутентификации из-за проблем с безопасностью их доставки (устройство может быть заражено вредоносным ПО, перенаправляющим сообщения злоумышленникам, хакеры могут атаковать сеть оператора связи и пр.).