Končno: obvezno redno menjanje gesel in obvezna cifra ter poseben znak so neumnost!
Ameriški Nacionalni inštitut za standarde in tehnologijo (NIST) je izdal nove tehnološke standarde za zvezne agencije, organizacije in podjetja, ki poslujejo z zvezno vlado, v katerih je posebno poglavje posvečeno varnosti gesel. NIST je končno predlagal spremembe, ki ukinjajo nekaj najbolj neumnih zahtev pri izbiri varnih gesel.
Resnično so bila gesla, ki jih uporabniki izberejo, včasih katastrofalno enostavna, a protistrup je postajal škodljiv. Zahteve po vključevanju posebnih znakov, vsaj nekaj cifer, redno menjavanje gesel in podobne zahteve so varnost prej spodkopavale kot izboljševale. Uporabnike so silile v izbiro preprostejših gesel, ki so si jih lahko zapomnili, ali pa kam zapisali.
V novih pravilih so dobre prakse zapisane takole:
- gesla morajo biti vsaj osem znakov dolga, priporočljivo pa je vsaj petnajst znakov;
- priporočljivo je, da je zgornja meja za dolžino gesla vsaj 64 znakov;
- priporočljivo je, da so omogočeni vsi znaki ASCII in presledek;
- priporočljivo je, da so omogočeni znaki Unicode, kjer vsaka koda šteje kot en znak za ugotavljanje dolžine;
- dodatne zahteve za sestavo gesel niso dovoljena (npr. mešanje velikih in malih črk, vključevanje številk);
- obvezno periodično menjanje gesel ni dovoljeno;
- obvezna menjava gesel po odkritju zlorabe je obvezna;
- shranjevanje namigov ni dovoljeno;
- uporaba varnostnih vprašanj ni dovoljena;
- obvezno je preverjanje celotnega gesla (brez rezanja po določenem številu znakov).
Sčasoma se nam torej obeta konec praks, ki marsikoga upravičeno jezijo. A NIST-ov osnutek mora najprej postati standard, nato ga bodo posvojili v ZDA in potem bo počasi prikapljal tudi v programsko opremo na tej strani Luže in čisto na koncu v zavest administratorjev. Predlog je v javni razpravi do 7. oktobra.
