موسسه ملی استاندارد و فناوری آمریکا (NIST) به تازگی دستورالعمل‌های خود را برای امنیت بیشتر کلمات عبور به‌روزرسانی و منتشر کرده است. این توصیه‌ها، تغییرات قابل‌توجهی را نسبت به شیوه‌های سنتی افزایش امنیت رمزهای عبور نشان می‌دهد.

یکی از مهم‌ترین تغییرات، موضع NIST در مورد پیچیدگی گذرواژه‌هاست. بر خلاف روش‌های قدیمی، NIST دیگر بر مواردی همچون ترکیب حروف بزرگ و کوچک، اعداد و کاراکترهای خاص تأکیدی ندارد. در عوض، تمرکز اصلی بر روی طول رمز عبور به عنوان عامل اصلی در مستحکم بودن آن است. 

به گفته‌ی پل ترنر، کارشناس امنیت سایبری NIST، گذرواژه‌های طولانی‌تر، عموما امن‌تر هستندو  به خاطر سپردن آنها برای کاربران آسان‌تر از حفظ کردن گذرواژه‌های ترکیبی است. بهتر است به جای استفاده از ترکیب‌های پیچیده، از عبارت‌های طولانی و منحصربه‌فرد استفاده شود.

توصیه‌ی NIST استفاده از حداقل 8 کاراکتر برای رمزهای عبور است و هر چه تعداد کاراکترها افزایش یابد، بهتر است. به سازمان‌ها نیز توصیه شده است تا به کاربران پلتفرم‌های خود اجازه‌ دهند از گذرواژه‌هایی تا 64 کاراکتر استفاده نمایند.

تغییر قابل توجه دیگر، حذف الزام تغییرات دوره‌ای گذرواژه‌هاست. استدلال NIST این است که تغییر مکرر رمز عبور، اغلب منجر به انتخاب رمزهای عبور ضعیف‌تر می‌شود و کاربران را تشویق می‌کند تا تغییراتی جزئی و قابل پیش‌بینی در گذرواژه‌های قبلی خود ایجاد کنند. در عوض، توصیه می‌شود رمزهای عبور، تنها زمانی تغییر کنند که شواهدی مبنی بر لو رفتن آنها وجود داشته باشد.

دستورالعمل‌های جدید همچنین بر اهمیت بررسی وجود گذرواژه در لیست گذرواژه‌های پرتکرار یا لو رفته تأکید دارد. NIST توصیه می‌کند که سازمان‌ها یک فهرست به‌روز از رمزهای عبور ضعیف را داشته باشند و از انتخاب هر گذرواژه‌ای که در این لیست وجود دارد جلوگیری کنند. 

علاوه بر این، NIST تأکید می‌کند که در بخش پرسش‌های راهنمایی که به منظور فراموشی رمز عبور در برخی از سایت‌ها وجود دارد (مثلا: نام شهر تولد شما چیست)، از اطلاعات واقعی استفاده نشود چرا که اغلب می‌توان آنها را به راحتی از طریق مهندسی اجتماعی حدس زد یا کشف کرد. 

نکته‌ی دیگری که دستورالعمل‌های جدید بر آن تکیه دارد، اهمیت استفاده از احراز هویت چندعاملی (MFA) به عنوان لایه‌ی امنیتی مضاعف است. NIST به شدت استفاده از MFA را در هر کجا که ممکن باشد تشویق می‌کند.

توصیه‌های جدید NIST مورد استقبال بسیاری از فعالین جامعه امنیت سایبری قرار گرفته است. کاربران احتمالا در آینده، شاهد اعمال این تغییرات در پلتفرم‌های مختلف خواهند بود. متخصصان امنیتی معتقدند که اگرچه این تغییرات زمان‌بر خواهند بود، اما منجر به امنیت بیشتر گذرواژه‌ها خواهد شد.

NIST تأکید کرده است که این توصیه‌ها فقط مخصوص سازمان‌های دولتی نیست و بهتر است که همه کاربران آن را رعایت کنند.