Národní institut pro standardy a technologie (NIST) navrhla odstranit některé z nejvíce matoucích a kontraproduktivních politik hesel. Mezi klíčové změny patří ukončení povinného resetování hesla, omezení používání určitých znaků a ukončení bezpečnostních otázek.
V prosinci 2022, NIST vydal Initial Public Draft (IPD) of SP 800-63, Revision 4 – Digital Identity Guidelines. V roce 2023 vyšla verze A, letos v dubnu verze B a do 7. října se přijímají veřejné připomínky revizi C, která vy měla být finální a stát se závaznou normou. Samozřejmě pro USA, ale my jejich normy v oblasti bezpečnosti přejímáme.
Část zaměřená na hesla představuje několik velmi potřebných a rozumných změn tradičních zásad. Jednou z významných aktualizací je odstranění požadavku, aby si uživatelé pravidelně měnili svá hesla. Tato politika, která vznikla před desítkami let, kdy zabezpečení hesel nebylo dobře pochopeno, je zastaralé. Tehdy lidé často používali jako hesla snadno uhodnutelná jména a slova ze slovníku.
V současné době služby obvykle vyžadují robustnější, náhodně generovaná hesla nebo přístupové fráze. Když jsou používána tak silná hesla, nucení uživatelů, aby je každých pár měsíců měnili, může oslabit zabezpečení. Další zátěž vede uživatele k vytváření jednodušších a snadněji zapamatovatelných hesel.
Dalším problematickým pravidlem je požadavek na použití specifických znaků, jako jsou čísla, speciální znaky a velká i malá písmena. Jsou-li hesla dostatečně dlouhá a náhodná, tyto požadavky na znaky nepřidávají žádnou skutečnou bezpečnostní výhodu. Ve skutečnosti mohou taková pravidla tlačit uživatele k výběru slabších hesel.
Aktualizované pokyny NIST nyní uvádějí:
- Ověřovatelé a poskytovatelé přihlašovacích služeb (CSP) nesmějí ukládat specifická pravidla pro složení znaků (např. vyžadovat kombinaci typů znaků).
- Ověřovatelé a poskytovatelé CSP nesmí vyžadovat pravidelné změny hesla, s výjimkou případů, kdy existují důkazy o ohrožení bezpečnosti.
- (Pro upřesnění, „ověřovatelé“ jsou entity, které potvrzují identitu uživatele ověřením jeho přihlašovacích údajů, a CSP jsou důvěryhodné entity, které spravují registraci a přidělování ověřovatelů.)
- V předchozích verzích pokynů jazyk naznačoval, že organizace „neměly“ zavádět určité postupy, což naznačuje, že jsou odrazovány, ale nikoli zakázány. Nový výraz „nesmí“ objasňuje, že tyto postupy musí být odstraněny, aby byly splněny normy shody.
Aktualizované pokyny obsahují také několik dalších změn:
- Hesla musí mít alespoň osm znaků, s doporučením minimálně 15 znaků.
- Systémy by měly umožňovat hesla o délce až 64 znaků.
- V heslech by měly být povoleny všechny tisknutelné znaky ASCII, včetně mezer.
- Měly by být povoleny také znaky Unicode, přičemž každý znak se pro účely délky hesla počítá jako jedna jednotka.
- Zkrácení hesla by nemělo být povoleno, což znamená, že musí být ověřeno celé heslo.
- Systémy nesmí nabízet nápovědu k heslu přístupná neoprávněným uživatelům.
- Ověřování založené na znalostech (jako jsou bezpečnostní otázky) by se již nemělo používat.