موسسه ملی استاندارد و فناوری آمریکا (NIST) به تازگی دستورالعملهای خود را برای امنیت بیشتر کلمات عبور بهروزرسانی و منتشر کرده است. این توصیهها، تغییرات قابلتوجهی را نسبت به شیوههای سنتی افزایش امنیت رمزهای عبور نشان میدهد.
یکی از مهمترین تغییرات، موضع NIST در مورد پیچیدگی گذرواژههاست. بر خلاف روشهای قدیمی، NIST دیگر بر مواردی همچون ترکیب حروف بزرگ و کوچک، اعداد و کاراکترهای خاص تأکیدی ندارد. در عوض، تمرکز اصلی بر روی طول رمز عبور به عنوان عامل اصلی در مستحکم بودن آن است.
به گفتهی پل ترنر، کارشناس امنیت سایبری NIST، گذرواژههای طولانیتر، عموما امنتر هستندو به خاطر سپردن آنها برای کاربران آسانتر از حفظ کردن گذرواژههای ترکیبی است. بهتر است به جای استفاده از ترکیبهای پیچیده، از عبارتهای طولانی و منحصربهفرد استفاده شود.
توصیهی NIST استفاده از حداقل 8 کاراکتر برای رمزهای عبور است و هر چه تعداد کاراکترها افزایش یابد، بهتر است. به سازمانها نیز توصیه شده است تا به کاربران پلتفرمهای خود اجازه دهند از گذرواژههایی تا 64 کاراکتر استفاده نمایند.
تغییر قابل توجه دیگر، حذف الزام تغییرات دورهای گذرواژههاست. استدلال NIST این است که تغییر مکرر رمز عبور، اغلب منجر به انتخاب رمزهای عبور ضعیفتر میشود و کاربران را تشویق میکند تا تغییراتی جزئی و قابل پیشبینی در گذرواژههای قبلی خود ایجاد کنند. در عوض، توصیه میشود رمزهای عبور، تنها زمانی تغییر کنند که شواهدی مبنی بر لو رفتن آنها وجود داشته باشد.
دستورالعملهای جدید همچنین بر اهمیت بررسی وجود گذرواژه در لیست گذرواژههای پرتکرار یا لو رفته تأکید دارد. NIST توصیه میکند که سازمانها یک فهرست بهروز از رمزهای عبور ضعیف را داشته باشند و از انتخاب هر گذرواژهای که در این لیست وجود دارد جلوگیری کنند.
علاوه بر این، NIST تأکید میکند که در بخش پرسشهای راهنمایی که به منظور فراموشی رمز عبور در برخی از سایتها وجود دارد (مثلا: نام شهر تولد شما چیست)، از اطلاعات واقعی استفاده نشود چرا که اغلب میتوان آنها را به راحتی از طریق مهندسی اجتماعی حدس زد یا کشف کرد.
نکتهی دیگری که دستورالعملهای جدید بر آن تکیه دارد، اهمیت استفاده از احراز هویت چندعاملی (MFA) به عنوان لایهی امنیتی مضاعف است. NIST به شدت استفاده از MFA را در هر کجا که ممکن باشد تشویق میکند.
توصیههای جدید NIST مورد استقبال بسیاری از فعالین جامعه امنیت سایبری قرار گرفته است. کاربران احتمالا در آینده، شاهد اعمال این تغییرات در پلتفرمهای مختلف خواهند بود. متخصصان امنیتی معتقدند که اگرچه این تغییرات زمانبر خواهند بود، اما منجر به امنیت بیشتر گذرواژهها خواهد شد.
NIST تأکید کرده است که این توصیهها فقط مخصوص سازمانهای دولتی نیست و بهتر است که همه کاربران آن را رعایت کنند.