Много лет подряд сообщество специалистов по безопасности требовало от пользователей ужасающе сложные пароли. Вы и сами знаете, к чему это приводило. Пароли записывали на мониторах, бумаге рядом с монитором, под клавиатурой, в ящиках стола. Много лет подряд специалисты по безопасности высмеивали обычных пользователей, жалуясь на то, что они просто не могут запомнить пароли. Но на самом деле эти же специалисты сами не всегда могли запомнить свой пароль и часто использовали либо один и тот же, либо его вариации.
Надежные пароли настолько просты! Все, что вам нужно, это 12 символов, один символ верхнего регистра, один символ нижнего регистра, одна цифра, один символ и ничего о вас не известно. Затем меняйте все свои пароли каждые девяносто дней. О, мы упоминали, что у вас должен быть уникальный сложный пароль для каждой учетной записи и никогда, никогда не записывать его. Что может быть проще?
В течение многих лет люди и организации, такие как Пер Торсхайм и его Passwords Con , доктор Кормак Херли , доктор Анджела Сассе и Национальный центр кибербезопасности Великобритании , боролись против этого. Наконец, это болезненное поведение было прекращено NIST в своей официальной публикации SP800-63-3 Digital Identity Guidelines. Они охватывают пароли в разделах 5.1.1.1 , 5.1.1.2 и Приложение А . Короче говоря, утверждает NIST.
- Сложность мертва, сосредоточьтесь на длине пароля . Прекратите навязывать болезненные требования сложности, вместо этого да здравствует парольная фраза.
- Время истечения срока действия пароля умирать . Изменяйте пароли только в том случае, если вы обеспокоены тем, что они могли быть скомпрометированы
- Системы должны поддерживать использование менеджеров паролей .
Поначалу это может показаться неважным, но эти изменения огромны. Фактически в пароль привносится здравый смысл. Вместо того, чтобы пытаться сосредоточиться на том, что является академически ИДЕАЛЬНЫМ паролем, мы принимаем во внимание человеческий фактор. Слишком часто безопасность дает сбой, потому что мы забываем об участии людей. Сложные пароли не только сложно запомнить, но и отнимают много времени и болезненно вводить вручную. На самом деле, Wall Street Journal опубликовал увлекательную статью на фоне оригинального мышления NIST и о том, как первоначальные авторы теперь понимают, насколько сложен сложный пароль. Еще более болезненно, когда вы требуете от людей регулярно менять эти сложные пароли. Самыми большими противниками этих изменений, скорее всего, будут высокотехнологичные специалисты по безопасности, которые постоянно забывают, что люди являются частью безопасности любой организации, а также определенных правил или стандартов, которые по-прежнему требуют сложности паролей и / или регулярной смены паролей, таких как NERC CIP-007. -6 R5.
