Националният институт за стандарти и технологии на САЩ (NIST), който разработва  стандарти за киберсигурност за американското правителство, призовава организациите да преосмислят строгите изисквания за пароли. Според експертите подобни ограничения често имат обратен ефект и водят до по-ниска сигурност.

Проблемът със сложните пароли

Паролите остават най-често използваната форма на удостоверяване, но има един сериозен недостатък – хората трудно запомнят сложни, дълги и произволни комбинации. В резултат се избират лесни за запомняне пароли, които могат да бъдат лесно отгатнати, а това повишава риска за онлайн акаунтите.

Добавянето на изисквания за включване на цифри, главни букви или символи не винаги увеличава сигурността, докато намалява удобството за потребителя. Налагането на редовна смяна на паролите също може да направи проблема още по-сериозен.

По-ефективни мерки за защита

NIST препоръчва редица алтернативни подходи, които доказано намаляват риска от съвременни brute-force атаки:

• Блоклист на компрометирани пароли и често използвани комбинации – системата да предотвратява използването им.

• Сигурно хеширане на паролите – за да се намали риска при пробиви на база данни.

• Генериране на случайни пароли от системата – особено за акаунти с висока стойност.

• Ограничаване на опитите за въвеждане на парола (rate limiting).

• Многофакторна автентикация (MFA) и мениджъри на пароли като допълнителна защита.

NIST вече не препоръчва задължителна смяна на паролите, освен когато те са компрометирани, например при изтичане на данни.

Дължината на паролата остава критична

Докато сложността на паролата не е толкова важна, дължината остава ключов фактор за сигурността. Кратки пароли се пробиват по-лесно чрез brute-force атаки, докато дългите пароли или пасфрази значително затрудняват атакуващите.

„Потребителите трябва да бъдат насърчавани да създават пароли с колкото дължина желаят, в разумни граници. Хеширането на паролата не зависи от дължината ѝ, така че няма причина да се ограничават дългите пароли. Изключение са изключително дългите пароли, които могат да забавят обработката на хеша,“ обясняват експертите от NIST.

Как компаниите да прилагат новите препоръки

За да се въведат новите указания, организациите трябва да предприемат няколко стъпки:

1. Провеждане на одит на текущите изисквания за пароли и идентифициране на остарелите правила.

2. Конфигуриране на системите за автентикация според новите насоки, включително създаване на блоклистове и използване на мениджъри на пароли.

3. Обучение на служителите, за да се запознаят с промените и да използват правилно новите практики.

Този подход балансира сигурността и удобството, като намалява вероятността потребителите да избират предвидими или повторно използвани пароли.