В компаниях, работающих в сфере компьютерной безопасности, положительно оценили подготовленный Национальным институтом стандартов и технологий США (NIST) проект новых рекомендаций по обеспечению безопасности систем идентификации пользователей с помощью паролей.
NIST рекомендует отказаться от обязательной регулярной смены паролей. Исследования показали, что она чаще снижает, чем повышает надежность защиты. В NIST считают, что пароли должны меняться либо по желанию пользователя, либо при появлении признаков взлома системы. Требования к сложности паролей (наличие цифр, букв разного регистра и прочие условия) тоже следует отменить. Хранение паролей с применением соли, хэширования и кодов MAC чрезвычайно затрудняет их подбор. Одним из лучших способов усиления защиты в NIST считают проверку новых паролей по словарям и спискам взломанных паролей., а также запрещение использования в качестве паролей имен пользователей и повторяющихся или последовательных наборов символов.
Несмотря на появление новых технологий аутентификации пользователей, парольные технологии по-прежнему широко используются, отмечает руководитель исследований в области безопасности в компании AppRiver Трой Джилл. Их применяет большинство новых сетевых сервисов, и число паролей, с которыми приходится иметь дело обычным пользователям, стало критическим.
