NIST: észszerűsítettünk az ajánlott jelszószabályokon

Viszlát nonszensz szabályok, helló extrém hosszú jelmondatok!

Bővebben:

NIST ikon
NIST ikon

Viszlát nonszensz szabályok, helló extrém hosszú jelmondatok!

Bővebben:

Az amerikai Nemzeti Szabványügyi és Technológiai Intézet (National Institute of Standards and Technology – NIST) rendszeresen fogalmaz meg különböző technológiai ajánlásokat, melyek közt rendszeresek a jelszavakkal és a jelszóházirendekkel kapcsolatosak is.

Ezek az ajánlások azért fontosak, mert a különböző (nagy)vállalatok és hivatalok itthon is hajlamosak követni, így sokszor a teljesen buta jelszóházirendekkel sanyargatják a szerencsétlen munkavállalót. Ennek – remélhetőleg – hamarosan vége.

Az ajánlásból kikerült a jelszavak periodikus, kötelező megváltoztatása, jelszavakban speciális karakterek kötelező használata, és az ennél is utáltabb biztonsági kérdések használatát sem ajánlja már a NIST.

A jelszavak gyakori változtatásának gyakorlata különösen káros, mivel az ember hajlamos megjegyezhető(bb), így kevésbé biztonságos jelszót használni a következő egy-két-három hónapra.

Ami érdekessé teszi még az ajánlást, hogy bátorítja a Unicode karakterek használatát. Lehetővé válik különböző ikonok beállítása jelszónak?

A modern jelszóházirendek 9 pontja:

  • A jelszavaknak minimum 8 karakter hosszúnak kell lenniük, de legalább 15 karakter hosszú javasolt
  • A jelszavak javasolt maximális hossza minimum 64 karakter legyen
  • Javasolt, hogy a jelszakban minden nyomtatható ASCII karakter és szóköz is szerepelhessen
  • Javasolt, hogy a jelszavakban lehessen Unicode karaktereket is használni, ahol minden Unicode kód egy karakternek kell, hogy számítson a jelszó kiértékelésekor
  • Tiltott a jelszavak összetettségét ezen felül tovább komplikálni (pl. speciális karakter(ek) jelenlétének megkövetelésével)
  • Tiltott a jelszavak rendszeres változtatásának a megkövetelése, de meg kell arról bizonyosodni, hogy az nem kompromittálódott
  • Tiltott a jelszó emlékeztető azonosítás nélküli elérése
  • Tiltott a biztonsági kérdések használata
  • A jelszót teljes hosszában kell ellenőrizni, nem csak egy csonkított részét.

 

Címkék:
NIST jelszó biztonság unicode jelmondat jelszóházirend