NIST предлагает запретить некоторые из самых бессмысленных правил паролей

Национальный институт стандартов и технологий (NIST), федеральный орган, устанавливающий технологические стандарты для правительственных агентств, организаций по стандартизации и частных компаний, предложил запретить некоторые из самых раздражающих и бессмысленных требований к паролям. Главные из них: обязательные сбросы, обязательное или ограниченное использование определенных символов и использование контрольных вопросов.

Выбор надежных паролей и их безопасное хранение — одна из самых сложных частей хорошего режима кибербезопасности. Еще сложнее соблюдать правила паролей, установленные работодателями, федеральными агентствами и поставщиками онлайн-услуг. Часто правила — якобы для повышения гигиены безопасности — на самом деле подрывают ее. И все же безымянные разработчики правил все равно устанавливают требования.

Пожалуйста, прекратите это безумие!

На прошлой неделе NIST опубликовал свой второй публичный проект SP 800-63-4, последнюю версию своих Руководящих принципов цифровой идентификации. Документ, состоящий примерно из 35 000 слов и наполненный жаргоном и бюрократическими терминами, почти невозможно прочитать от начала до конца и так же трудно понять полностью. Он устанавливает как технические требования, так и рекомендуемые передовые методы определения действительности методов, используемых для аутентификации цифровых идентификаторов в Интернете. Организации, взаимодействующие с федеральным правительством в Интернете, обязаны соблюдать требования.

Раздел, посвященный паролям, вводит большую порцию крайне необходимых практик здравого смысла, которые бросают вызов общепринятым политикам. Пример: новые правила запрещают требование о том, чтобы конечные пользователи периодически меняли свои пароли. Это требование возникло несколько десятилетий назад, когда безопасность паролей была плохо понята, и люди часто выбирали общие имена, слова из словаря и другие секреты, которые легко угадывались.

С тех пор большинство сервисов требуют использования более надежных паролей, составленных из случайно сгенерированных символов или фраз. Когда пароли выбраны правильно, необходимость периодически менять их, как правило, каждые один-три месяца, может фактически снизить безопасность, поскольку дополнительная нагрузка стимулирует использование более слабых паролей, которые людям легче устанавливать и запоминать.

Другим требованием, которое часто приносит больше вреда, чем пользы, является обязательное использование определенных символов, таких как по крайней мере одна цифра, один специальный символ и одна заглавная и строчная буква. Когда пароли достаточно длинные и случайные, нет никакой выгоды от требования или ограничения использования определенных символов. И снова, правила, регулирующие композицию, могут фактически привести к тому, что люди будут выбирать более слабые пароли.

В последних рекомендациях NIST теперь указано следующее:

• Верификаторы и поставщики криптопротоколов НЕ ДОЛЖНЫ устанавливать другие правила составления (например, требующие смешивания различных типов символов) для паролей и
• Верификаторы и CSP НЕ ДОЛЖНЫ требовать от пользователей периодической смены паролей. Однако верификаторы ДОЛЖНЫ принудительно менять пароли, если есть доказательства компрометации аутентификатора.

(«Верификаторы» — это бюрократическое выражение, обозначающее организацию, которая проверяет личность владельца счета, подтверждая его учетные данные. «CSP» (сокращенно от «поставщик услуг по учетным данным») — это доверенная организация, которая назначает или регистрирует аутентификаторы для владельца счета.)

В предыдущих версиях руководящих принципов некоторые правила использовали слова «не следует», что означает, что практика не рекомендуется как лучшая практика. «Не следует», напротив, означает, что практика должна быть запрещена, чтобы организация соответствовала требованиям.

Последний документ содержит несколько других разумных практик, в том числе:

1. Верификаторы и CSP ДОЛЖЕН требуют, чтобы пароли были длиной не менее восьми символов и ДОЛЖЕН требуют, чтобы длина пароля составляла не менее 15 символов.
2. Верификаторы и CSP ДОЛЖЕН допускается максимальная длина пароля не менее 64 символов.
3. Верификаторы и CSP ДОЛЖЕН принимать все печатные ASCII [RFC20] символы и пробел в паролях.
4. Верификаторы и CSP ДОЛЖЕН принимать Юникод [ISO/ISC 10646] Символы в паролях. Каждая кодовая точка Unicode ДОЛЖЕН учитываться как один символ при оценке длины пароля.
5. Верификаторы и CSP НЕ ДОЛЖЕН устанавливать другие правила составления паролей (например, требовать смешивания различных типов символов).
6. Верификаторы и CSP НЕ ДОЛЖЕН требуют от пользователей периодической смены паролей. Однако верификаторы ДОЛЖЕН принудительно внести изменения, если есть доказательства компрометации аутентификатора.
7. Верификаторы и CSP НЕ ДОЛЖЕН разрешить подписчику хранить подсказку, доступную неаутентифицированному заявителю.
8. Верификаторы и CSP НЕ ДОЛЖЕН предлагайте абонентам использовать аутентификацию на основе знаний (KBA) (например, «Как звали вашего первого питомца?») или контрольные вопросы при выборе паролей.
9. Проверяющие ДОЛЖЕН проверьте весь отправленный пароль (т.е. не обрезайте его).

Критики годами указывали на глупость и вред, которые приносят многие общепринятые правила паролей. И все же банки, онлайн-сервисы и государственные учреждения в значительной степени придерживаются их. Новые руководящие принципы, если они станут окончательными, не являются обязательными для всех, но они могут предоставить убедительные аргументы в пользу отказа от этой ерунды.

NIST приглашает людей присылать свои комментарии по рекомендациям на адрес dig-comments@nist.gov до 23:59 по восточному времени 7 октября.