Viện Tiêu chuẩn và Công nghệ Quốc gia ( NIST ) sắp sửa cách mạng hóa các chính sách mật khẩu cho hệ thống liên bang, từ bỏ những thông lệ lâu đời nhưng gây nhiều vấn đề. Trong bản dự thảo Ấn phẩm Đặc biệt 800-63-4, NIST đưa ra những hướng dẫn mới có thể thay đổi đáng kể cách các cơ quan chính phủ và tổ chức liên kết tiếp cận vấn đề bảo mật mật khẩu.
Những thay đổi chính được NIST đề xuất bao gồm:
-
Loại bỏ yêu cầu đặt lại mật khẩu bắt buộc: Việc bắt buộc thay đổi mật khẩu thường xuyên giờ đây được nhận ra là có thể gây phản tác dụng, thường dẫn đến việc người dùng tạo ra những mật khẩu yếu hơn nhưng dễ nhớ hơn.
-
Bỏ yêu cầu về loại ký tự: Không còn những ngày phải bắt buộc kết hợp chữ hoa, chữ thường, số và ký hiệu. NIST giờ đây ưu tiên những mật khẩu dài hơn mà không có quy tắc cấu tạo nghiêm ngặt.
-
Cấm sử dụng câu hỏi bảo mật: Phương pháp xác thực dựa trên kiến thức, như hỏi tên thú cưng đầu tiên của người dùng, sẽ bị cấm do dễ bị tấn công kỹ thuật xã hội và đoán mò.
-
Tăng độ dài tối thiểu của mật khẩu: Trong khi vẫn giữ mức tối thiểu 8 ký tự, NIST giờ đây khuyến nghị khuyến khích sử dụng mật khẩu có ít nhất 15 ký tự.
-
Mở rộng chấp nhận ký tự: Hướng dẫn mới đề xuất chấp nhận tất cả các ký tự ASCII có thể in được và Unicode trong mật khẩu, với mỗi ký tự Unicode được tính là một ký tự đơn.
Những thay đổi này phản ánh sự hiểu biết ngày càng tăng rằng nhiều chính sách mật khẩu truyền thống có thể vô tình thúc đẩy các thực hành bảo mật kém. Ví dụ, việc thay đổi mật khẩu thường xuyên thường khiến người dùng tạo ra những mật khẩu đơn giản với những thay đổi nhỏ, khiến chúng dễ bị bẻ khóa hơn.
Mặc dù những hướng dẫn này chủ yếu nhắm vào hệ thống liên bang, chúng có khả năng ảnh hưởng đến các chính sách mật khẩu trong nhiều ngành công nghiệp khác nhau. Các tổ chức tương tác với chính phủ liên bang sẽ cần tuân thủ những tiêu chuẩn mới này, có thể dẫn đến việc áp dụng rộng rãi hơn những thực hành thân thiện với người dùng và tập trung vào bảo mật này.
Điều quan trọng cần lưu ý là tài liệu của NIST vẫn đang ở bản dự thảo thứ hai và mở cho ý kiến phản hồi của công chúng. Tuy nhiên, nó báo hiệu một sự thay đổi đáng kể hướng tới các biện pháp bảo mật mật khẩu thiết thực và hiệu quả hơn, ưu tiên cả khả năng sử dụng và bảo vệ mạnh mẽ trước các mối đe dọa mạng hiện đại.
Khi các trình quản lý mật khẩu ngày càng phổ biến và hiểu biết của chúng ta về an ninh mạng hiệu quả phát triển, những hướng dẫn mới này từ NIST đại diện cho một bước tiến trong việc điều chỉnh các thực hành bảo mật phù hợp với thực tế công nghệ hiện tại.