Национальный институт стандартов и технологий NIST (США) выпустил новые рекомендации по безопасности паролей.
Главная рекомендация — использовать более длинные пароли. Использовать комбинацию из как минимум одной заглавной и строчной буквы, цифры и специального символа больше необязательно.
Исследования показали, что если не использовать генератор случайных паролей и не хранить пароли в менеджере паролей, люди будут использовать одни и те же пароли или их модификации, что неизбежно приведёт к использованию слабых паролей.
NIST больше не рекомендует обязательную смену паролей по тем же причинам, что и принуждение к сложности паролей. Чем чаще вы требуете от пользователей менять свои пароли, тем слабее пароли будут становиться со временем. На практике пользователи часто вносят предсказуемые незначительные изменения в ранее используемые пароли.
Рекомендации по длине пароля:
- минимальная длина пароля 8 символов, но лучше — 15 символов;
- использовать парольные фразы длиной до 64 символов;
- не использовать подсказки для пароля (имя домашнего животного, девичья фамилия и пр.);
- использовать черный список слабых и часто используемых паролей и запретить использование этих паролей в учётных записях.