Američki NIST ukida složena pravila o sastavu i obaveznoj periodičnoj promjeni lozinki

Novi nacrt "Digital Identity Guidelines" američkog Nacionalnog instituta za standarde i tehnologiju (NIST) donosi značajne promjene u praksi kreiranja i korištenja lozinki

Ivan Podnar ponedjeljak, 30. rujna 2024. u 06:00
NIST ima sjedište u Gaithersburgu, Maryland 📷 Wikipedia
NIST ima sjedište u Gaithersburgu, Maryland Wikipedia

Nacionalni institut za standarde i tehnologiju (NIST) objavio je drugi nacrt svojih ažuriranih Smjernica za digitalni identitet, što označava značajnu evoluciju u pristupu organizacija verifikaciji i autentifikaciji digitalnog identiteta. Ova revizija, četvrta od prvog objavljivanja inicijalnog dokumenta 2022. godine, odražava promjene u digitalnom svijetu i bavi se novim tehnologijama i sigurnosnim problemima.

Štetna praksa periodičnih promjena lozinki

Jedna od ključnih promjena je ukidanje obavezne periodične promjene lozinki, često svakih 90 dana. Ova praksa, prvotno zamišljena kao način sprječavanja korištenja lako pogodivih ili višestruko korištenih lozinki, pokazala se neučinkovitom. Umjesto toga, dovela je do toga da korisnici biraju jednostavnije ili formulirane lozinke koje je lakše pamtiti, čime se zapravo smanjila sigurnost računa.

Eliminira se tzv. "pravilo sastava" lozinki

Dodatno, nacrt eliminira tzv. "pravila sastava" lozinki. Ova pravila su tradicionalno zahtijevala određeni broj ili kombinaciju velikih slova, brojeva i interpunkcijskih znakova u svakoj lozinci. NIST je prepoznao da ovakva ograničenja često rezultiraju predvidljivim obrascima u lozinkama, što ih čini ranjivijima na napade.

Detaljne razlike pogledajte u tabici na kraju teksta.

Smjernice o passkeyevima i digitalnim novčanicima

Druge ključne novosti u novom nacrtu uključuju proširene smjernice o passkeyevima i digitalnim novčanicima te detaljnije informacije o tome kako organizacije mogu implementirati i pouzdati se u ove moderne metode autentifikacije, istovremeno održavajući sigurnost i privatnost.

Ove preporuke nemaju zakonsku težinu, ali će biti obavezne za tijela savezne vlade SAD-a te će također služiti kao smjernice za široku primjenu u privatnom sektoru i drugim organizacijama.


Nekoliko ključnih razlika između starih i novih NIST-ovih preporuka za lozinke:
1. Duljina naspram složenosti:
Staro: Fokus na zahtjevima složenosti (npr. posebni znakovi, brojevi, velika/mala slova)
Novo: Naglasak na duljini lozinke umjesto složenosti. NIST preporučuje minimum od 8 znakova, ali se potiču dulje lozinke (12-16 znakova).
 
2. Istek lozinke:
Staro: Zahtijevalo česte promjene lozinke (npr. svakih 60-90 dana)
Novo: NIST ne preporučuje obavezne periodične promjene lozinke. Lozinke bi se trebale mijenjati samo ako postoje dokazi o kompromitiranju.
 
3. Ponovno korištenje lozinke:
Staro: Sprječavalo ponovno korištenje određenog broja prethodnih lozinki
Novo: Fokus na zabrani uobičajenih i kompromitiranih lozinki umjesto sprječavanja ponovnog korištenja osobne povijesti lozinki.
 
4. Sastav znakova:
Staro: Strogi zahtjevi za korištenjem različitih vrsta znakova
Novo: Dopušteni su svi ASCII i Unicode znakovi, uključujući razmake.
 
5. Podsjetnici za lozinke:
Staro: Često su dopuštali podsjetnike za lozinke
Novo: NIST zabranjuje podsjetnike za lozinke.
 
6. Višefaktorska autentifikacija (MFA):
Staro: Nije uvijek bila potrebna
Novo: Snažno se potiče ili provodi gdje je moguće.
 
7. Upravitelji lozinki:
Staro: Obično nije bilo govora o njima
Novo: Potiče se njihovo korištenje kako bi se korisnicima pomoglo u stvaranju i upravljanju jakim, jedinstvenim lozinkama.
 
8. Neuspjeli pokušaji:
Staro: Često stroga pravila zaključavanja
NIST predlaže dopuštanje do 100 neuspjelih pokušaja prije zaključavanja računa, iako mnoge organizacije postavljaju niže pragove.
 
9. Mjerači snage lozinke:
Staro: Nisu bili uobičajeno implementirani
Novo: Preporučuje se pružanje povratnih informacija korisnicima o snazi lozinke.