Информационные технологииТехнологииПоиск

NIST рекомендовал отказаться от SMS-сообщений в двухфакторной аутентификации

NIST выпустил для правительственных организаций новые рекомендации по использованию паролей.

Национальный институт стандартов и технологий США (National Institute for Standards and Technology, NIST) выпустил для правительственных организаций новые рекомендации по использованию паролей. Для удобства пользователей консультант NIST, ИБ-эксперт Джим Фентон (Jim Fenton) представил презентацию, вкратце и по существу объясняющую новые рекомендации института.


Прежде всего эксперты рекомендуют сделать политику применения паролей дружественной для пользователей. Другими словами, нужно перестать требовать от них выполнять ненужные действия, никак не улучшающие безопасность. Как показывают исследования, «лучшие практики», направленные на усиление защиты, в большинстве случаев неэффективны и не стоят затраченных сил и времени.


Согласно новым рекомендациям NIST, длина пароля должна быть не менее восьми символов. Кроме того, специалисты уверены в необходимости увеличить допустимый максимум длины пароля до 64 символов (так что больше никаких уведомлений наподобие «Извините, длина вашего пароля не должна превышать 16 символов»). Данный совет весьма полезный, поскольку пароли должны храниться в хешированном виде с добавлением соли (не менее 32 битов) и ограничение длины не должно быть обязательным.


В приложениях должно разрешаться использование всех символов ASCII, в том числе пробелов, и UNICODE, включая эмодзи. Также рекомендуется использовать парольные фразы, а значит, у пользователей должна быть возможность выбирать любые существующие знаки препинания и любой язык. Прежде чем установить пароль, NIST советует проверить его наличие в словаре ненадежных паролей.


По мнению экспертов, не нужно устанавливать правила по составлению пароля (например, обязывать использовать в них одну заглавную букву, одну строчную, одну цифру и несколько знаков, но не &%#@_). Лучше позволить пользователям свободно выбирать парольные фразы, а не заставлять придумывать сложные для запоминания, но все равно ненадежные комбинации, такие как pA55w+rd.


Не рекомендуется использовать подсказки для пароля. Также неэффективной по мнению экспертов NIST является аутентификация с помощью ответов на вопросы, которые пользователь дал заранее.


Согласно рекомендациям, не нужно без особой необходимости устанавливать срок истечения действия пароля. Учетные данные рекомендуется изменять только в случае, если они были забыты, похищены с помощью фишинга или взломаны.


Что интересно, NIST рекомендует отказаться от использования SMS-сообщений в двухфакторной аутентификации из-за проблем с безопасностью их доставки (устройство может быть заражено вредоносным ПО, перенаправляющим сообщения злоумышленникам, хакеры могут атаковать сеть оператора связи и пр.).      
Stfw.Ru
Читать ✆ в Telegram
* При комментировании просим соблюдать законы Российской Федерации.

Двухфакторная аутентификация на основе SMS-сообщений может быть запрещена


Сегодня:

02:05 Смели Америку с пути: Россия вышла в полуфинал ( Россия обыграла США в четвертьфинале ЧМ-2019)


02:05 Ростех разработал первый суперкомпьютер на базе процессоров "Эльбрус"


02:05 Россиянам больше не нужны визы для посещения всех 12 государств Южной Америки


02:05 В США выпустили монету с союзниками во Второй мировой войне без СССР


02:05 Британию и США унизили в Индийском океане


02:05 Адвокат братьев Навальных получает деньги от Сороса


02:05 "Позор на всю Европу!": поляки высмеяли противников песни "Тёмная ночь"


16:05 Сотрудник спецназа Вооруженных сил РФ, рассказавший о якобы имевшем место опросе Минобороны среди военнослужащих о готовности открывать огонь по протестующим, раскрыл Znak.com свою личность


16:05 США вновь вернулись к закупкам венесуэльской нефти


16:05 Китайская контрреволюция: Huawei активизирует связи с Россией После введения санкций со стороны США компания направила в российские вузы 140 технологических запросов


16:05 Долги Северного Кавказа за газ оказались втрое больше в новом отчете "Газпрома"


16:05 Война США с Ираном? Путин не помешает Трампу совершить роковую ошибку, которая может стоить Америке мировой гегемонии


Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.