Национальный институт стандартов и технологий (NIST) США предложил внести существенные изменения в «Руководство по цифровой идентификации», направленные на борьбу с устаревшими и неэффективными политиками паролей, которые часто ставят под угрозу безопасность. В последней версии SP 800−63−4 NIST предлагает запретить обязательный сброс пароля, ненужные ограничения на количество символов и некоторые контрольные вопросы.
Исторически сложилось так, что организации требуют от пользователей часто менять пароли каждые один-три месяца, и эта практика уходит корнями в «устаревшие представления о безопасности». Однако NIST утверждает, что при использовании надежных паролей, сгенерированных случайным образом, частая смена может привести к ослаблению пароля, поскольку пользователи предпочитают более простые пароли, которые они могут запомнить. Новые рекомендации предусматривают минимальную длину пароля в 15 символов, при этом разрешается использовать символы Юникода.
Кроме того, NIST предписывает организациям не навязывать сложные правила составления паролей и не заставлять пользователей добавлять контрольные вопросы.
NIST приглашает общественность высказать свои замечания по предложенным рекомендациям до 7 октября.