Konec heslové tyranie! Nová pravidla ruší nesmyslné požadavky na hesla

Americký Národní institut standardů a technologií (NIST), který udává tón v oblasti bezpečnostních standardů, přichází s druhým návrhem nových pravidel pro zabezpečení. Tato pravidla jsou sice povinná pouze pro federální úřady, ale jejich vliv je tak významný, že se očekává jejich široké přijetí i v soukromém sektoru. A co je na nich tak převratného? Zjednodušeně řečeno, zbavují se některých nesmyslných požadavků na hesla, které ve skutečnosti spíše škodily, než pomáhaly.

Nová pravidla v kostce:

1. Délka hesla je král: Hesla musí mít alespoň 8 znaků, ale doporučuje se alespoň 15 znaků. Systémy by měly být schopny uložit hesla o délce až 64 znaků.
2. Svoboda znaků: V heslech lze použít libovolné tisknutelné znaky ASCII a Unicode.
3. Konec povinné změny hesel: Hesla se musí měnit pouze v případě, že došlo k prolomení účtu.
4. Sbohem, bezpečnostní otázky: Zapomeňte na otázky typu "Jak se jmenoval váš první mazlíček?". Ty už nejsou povoleny.
5. Heslo se ověřuje celé: Systémy musí ověřovat celé heslo, ne jen jeho část.

Revoluce v heslové politice

Nová pravidla jasně definují, co organizace spravující autentizační systémy musí, nesmí a měly by dělat. Některé změny jsou přímo revoluční. Odborníci už dlouho volali po zrušení povinných bezpečnostních otázek a pravidelné změny hesel, ale překvapivá je i změna týkající se složitosti hesel. Ukázalo se totiž, že dostatečně dlouhé heslo je stejně silné nebo dokonce silnější než heslo obsahující speciální symboly. Navíc si dlouhé heslo složené z vět můžeme lépe zapamatovat a snadněji ho napíšeme.