NIST с ред предложения за промяна в политиките за паролите

Няколко години подред вече множество критици и специалисти предвещават края на паролата като начин за удостоверяване в интернет ресурси в Мрежата. Само че паролите не си тръгват. Има вече достатъчно други технологии за авторизиране, като ирисово, гласово и лицево разпознаване, използването на специални хардуерни устройства, разпознаване на пръстовия ви отпечатък и какво ли не, но никое не е толкова универсално, колкото двойката „потребителско име-парола“.Наскоро Националния институт за стандартизация и технологии на САЩ (United States National Institute for Standards and Technology, NIST) даде своите предложения за нови рамки за политиките за налагането и спазването на правилата за пароли към обществения сектор в страната. Мнозина от нас използваме американски услуги, а и вземайки предвид влиянието на организацията, вероятно тези предложения ще представляват интерес за вас.

Special Publication 800-63-3: Digital Authentication Guidelines не е най-лесния документ за преглеждане и затова, Джим Фентън, независим разработчик и партньор на NIST обединява основните идеи тук, давайки ни ги в удобния вид на презентация.

Ето и някои от тях:

NIST предлага освобождаване на потребителя от бремето, което носи в момента в защита на данните и прехвърляне на повече отговорност върху този, който отговаря за съхранението им. Едно от предложенията е за използването на речници на най-използвани пароли за проверка на желаната от потребителя парола и евентуалното му попречване да използва такава. Освен това, организацията предлага да се разшири ограничението за максимална дължина на паролата, така че потребителят да може да използва парола или секретна фраза, каквато той иска, а не каквато му е налагана от услугата, която използва. В тази посока – премахване на усложненията за потребителя – е и друго предложение: да се спре със задължителното изискване за наличието на букви с горен и долен регистър, цифри и/или специални символи. Така, потребителят отново ще може да използва фраза, която ще помни, но която би останала също толкова трудна за разбиване.

Организацията иска да бъде въведен минимален брой допустими символи за парола: осем (максимумът да е 64). Освен това да могат да се включат в паролата всички знаци, които могат да бъдат генерирани на екрана посредством клавиатурата – всички ASCII символи, да се приемат UNICODE и дори емоджита и празно пространство/паузи. За сметка на това да отпаднат правилата за подсказващи въпроси, тъй като те са потенциален вектор на заплаха и улесняват разбиване на регистрацията (замислете се само колко кучета носят името Rex, Rexy и подобни – б.а.). Както и да отпадне срока за валидност на паролата. Идеята зад това предложение е ясна, коментира Чеснър Вишниевски от сайта на Sophos: ако човек си е измислил достатъчно добра парола или секретна фраза, той не трябва да бъде насилван да я променя, с което да бъде затрудняван допълнително. Според NIST е добре да се помисли също така за отпадане на използването на SMS за допълнителна авторизация, тъй като комуникацията може да бъде пресечена на устройството на потребителя чрез зловредна програма.