Hlavní navigace

NIST ruší některá pravidla pro hesla, která jsou kontraproduktivní

27. 9. 2024

Sdílet

Heslo 1234 Autor: Depositphotos

Americký institut standardů a technologie (NIST) vydal na konci srpna návrh nových pravidel pro digitální identitu (Digital Identity Guidelines). Ta budou závazná pro americké federální úřady a spolupracující firmy. Většinou však doporučení NIST přebírají i další subjekty.

V návrhu byla odstraněna některá pravidla pro zacházení s hesly, která se ukázala jako kontraproduktivní. Jde například o povinnost heslo měnit v pravidelném intervalu (kupříkladu každé tři měsíce), což ve výsledku uživatele vede k používání jednodušších hesel. Naopak heslo se bude muset měnit po jeho úniku.

Dále bylo zrušeno pravidlo o povinných znacích v hesle. Dříve například heslo muselo obsahovat aspoň jeden znak z každé skupiny: malá písmena, velká písmena, čísla a zvláštní znaky. Toto ve výsledku také vede k horším heslům. Ukazuje se, že dostatečně dlouhá hesla mají dost entropie i bez požadavku na použité znaky. Nová pravidla jsou:

  1. Hesla musí mít minimální délku 8 znaků a požadavek by měl být minimálně na 15 znaků
  2. Maximální délka by neměla být omezena na méně než 64 znaků
  3. Akceptované by měly být znaky ASCII (RFC 20) a Unicode (ISO/ISC10646). Přitom každý Unicode znak musí být počítán jako jeden, nehledě na kódování.
  4. Nesmí být uplatňováno omezení na použité znaky, například povinný znak nějaké skupiny
  5. Nesmí být povinnost hesla periodicky měnit, při kompromitaci naopak je povinnost heslo změnit
  6. Nesmí být ukládána nápověda k heslu (hint), dostupná nepřihlášenému uživateli
  7. Nesmí být používáno odpovědí na zvolené otázky, například jméno domácího mazlíčka
  8. Hesla mají být používána celá, tedy nezkracovat

(zdroj: arstechnica)

Našli jste v článku chybu?

Autor zprávičky

První linux nainstaloval kolem roku 1994 a u něj zůstal. Později vystudoval fyziku a získal doktorát.