NIST: принудительная смена паролей каждые 90 дней устарела и снижает безопасность

Многие специалисты годами требовали менять пароли каждые 90 дней. Эта логика казалась верной во времена ограниченных вычислительных мощностей, когда на взлом хеша требовалось много времени. Однако современные эксперты, включая Национальный институт стандартов и технологий (NIST), признали эту практику устаревшей. Принудительная частая смена паролей зачастую дает обратный эффект, подталкивая пользователей к созданию слабых комбинаций и предсказуемых шаблонов.

Злоумышленники сегодня редко тратят время на долгий взлом хешей, предпочитая фишинг и социальную инженерию. Постоянная ротация вызывает «усталость от паролей». Чтобы запомнить новые данные, пользователи прибегают к упрощениям: меняют «Password1» на «Password2» или «Summer2024!» на «Fall2024!». Скрипты для брутфорс-атак легко вычисляют такие инкрементальные изменения. В итоге люди начинают записывать пароли на стикерах, хранить их в текстовых файлах или просто добавлять восклицательный знак для формального соблюдения требований.

Рекомендации NIST: длина важнее сложности

В обновленном руководстве NIST Special Publication 800-63B четко сказано: обязательную периодическую смену паролей следует отменить. Обновление учетных данных необходимо только при наличии доказательств компрометации. Организация сместила акцент со сложности комбинации на ее длину. Парольная фраза из 16 символов, такая как «purple-mountain-coffee-rain», намного надежнее и легче для запоминания, чем короткая, но сложная комбинация вроде «P@ssw0rd!».

NIST рекомендует устанавливать минимальную длину пароля в 15 символов для однофакторной аутентификации и 8 символов при использовании надежной двухфакторной аутентификации (2FA). Требования к наличию спецсимволов, цифр и разных регистров часто приводят к предсказуемым заменам, которые легко угадываются. Также системы должны автоматически отклонять пароли, фигурирующие в базах утечек, например «123456» или «password123». Главный принцип — создать надежный пароль один раз и не менять его без веской причины.

Современные инструменты защиты и условия для смены

Отказ от ротации по календарю не означает, что пароль не нужно менять никогда. Существуют конкретные сценарии, требующие немедленных действий:

• Подтвержденная утечка данных (проверить можно через сервисы типа Have I Been Pwned).

• Уведомления о входе с незнакомых устройств или неожиданные письма о сбросе пароля.

• Необходимость закрыть доступ лицам, которым ранее были предоставлены учетные данные.

Для обеспечения безопасности одного пароля уже недостаточно. Двухфакторная аутентификация создает дополнительный барьер: даже зная пароль, злоумышленник не сможет войти без кода из приложения-аутентификатора или аппаратного ключа. Менеджеры паролей решают проблему запоминания, генерируя и сохраняя длинные случайные комбинации.

Перспективной технологией становятся ключи доступа (passkeys), которые поддерживают Google, Apple и Microsoft. Они заменяют традиционные пароли криптографическими ключами, хранящимися на устройстве, с подтверждением через биометрию или PIN-код. Это делает фишинговые атаки бессмысленными, так как перехватывать нечего. Вместо бесконечной смены комбинаций эффективнее провести аудит текущих аккаунтов, включить 2FA и проверить свои данные в базах утечек.