Americký institut standardů a technologie (NIST) vydal na konci srpna návrh nových pravidel pro digitální identitu (Digital Identity Guidelines). Ta budou závazná pro americké federální úřady a spolupracující firmy. Většinou však doporučení NIST přebírají i další subjekty.
V návrhu byla odstraněna některá pravidla pro zacházení s hesly, která se ukázala jako kontraproduktivní. Jde například o povinnost heslo měnit v pravidelném intervalu (kupříkladu každé tři měsíce), což ve výsledku uživatele vede k používání jednodušších hesel. Naopak heslo se bude muset měnit po jeho úniku.
Dále bylo zrušeno pravidlo o povinných znacích v hesle. Dříve například heslo muselo obsahovat aspoň jeden znak z každé skupiny: malá písmena, velká písmena, čísla a zvláštní znaky. Toto ve výsledku také vede k horším heslům. Ukazuje se, že dostatečně dlouhá hesla mají dost entropie i bez požadavku na použité znaky. Nová pravidla jsou:
- Hesla musí mít minimální délku 8 znaků a požadavek by měl být minimálně na 15 znaků
- Maximální délka by neměla být omezena na méně než 64 znaků
- Akceptované by měly být znaky ASCII (RFC 20) a Unicode (ISO/ISC10646). Přitom každý Unicode znak musí být počítán jako jeden, nehledě na kódování.
- Nesmí být uplatňováno omezení na použité znaky, například povinný znak nějaké skupiny
- Nesmí být povinnost hesla periodicky měnit, při kompromitaci naopak je povinnost heslo změnit
- Nesmí být ukládána nápověda k heslu (hint), dostupná nepřihlášenému uživateli
- Nesmí být používáno odpovědí na zvolené otázky, například jméno domácího mazlíčka
- Hesla mají být používána celá, tedy nezkracovat
(zdroj: arstechnica)