Обнал сервис MoneyTeam wwh PolisBlank
Взлом ВК
hacknet Продажа, изготовление водительских удостоверений (нового и старого образца)
hacknet

СМИ NIST рекомендовал отказаться от SMS-сообщений в двухфакторной аутентификации и не менять пароль слиш

Тема в разделе "Новости СМИ", создана пользователем Marck, 19/8/16.

  1. TopicStarter Overlay
    Marck

    Marck Ветеран Модератор Проверенный продавец

    Написать в ЛС
    Последняя активность:
    11.12.16
    Регистрация:
    23/8/15
    Сообщения:
    628
    Симпатии:
    282
    Сделок через ГС (Offelia):
    3
    Депозит:
    NIST выпустил для правительственных организаций новые рекомендации по использованию паролей.

    Национальный институт стандартов и технологий США (National Institute for Standards and Technology, NIST) выпустил для правительственных организаций новые рекомендации по использованию паролей. Для удобства пользователей консультант NIST, ИБ-эксперт Джим Фентон (Jim Fenton) представил презентацию, вкратце и по существу объясняющую новые рекомендации института.

    Прежде всего эксперты рекомендуют сделать политику применения паролей дружественной для пользователей. Другими словами, нужно перестать требовать от них выполнять ненужные действия, никак не улучшающие безопасность. Как показывают исследования, «лучшие практики», направленные на усиление защиты, в большинстве случаев неэффективны и не стоят затраченных сил и времени.

    Согласно новым рекомендациям NIST, длина пароля должна быть не менее восьми символов. Кроме того, специалисты уверены в необходимости увеличить допустимый максимум длины пароля до 64 символов (так что больше никаких уведомлений наподобие «Извините, длина вашего пароля не должна превышать 16 символов»). Данный совет весьма полезный, поскольку пароли должны храниться в хешированном виде с добавлением соли (не менее 32 битов) и ограничение длины не должно быть обязательным.

    В приложениях должно разрешаться использование всех символов ASCII, в том числе пробелов, и UNICODE, включая эмодзи. Также рекомендуется использовать парольные фразы, а значит, у пользователей должна быть возможность выбирать любые существующие знаки препинания и любой язык. Прежде чем установить пароль, NIST советует проверить его наличие в словаре ненадежных паролей.

    По мнению экспертов, не нужно устанавливать правила по составлению пароля (например, обязывать использовать в них одну заглавную букву, одну строчную, одну цифру и несколько знаков, но не &%#@_). Лучше позволить пользователям свободно выбирать парольные фразы, а не заставлять придумывать сложные для запоминания, но все равно ненадежные комбинации, такие как pA55w+rd.

    Не рекомендуется использовать подсказки для пароля. Также неэффективной по мнению экспертов NIST является аутентификация с помощью ответов на вопросы, которые пользователь дал заранее.

    Согласно рекомендациям, не нужно без особой необходимости устанавливать срок истечения действия пароля. Учетные данные рекомендуется изменять только в случае, если они были забыты, похищены с помощью фишинга или взломаны.

    Что интересно, NIST рекомендует отказаться от использования SMS-сообщений в двухфакторной аутентификации из-за проблем с безопасностью их доставки (устройство может быть заражено вредоносным ПО, перенаправляющим сообщения злоумышленникам, хакеры могут атаковать сеть оператора связи и пр.).
     
  2. Инфо. Бот Администратор

    Просьба ознакомиться с основными правилами проекта Читать.
    В сети полно мошенников, которые умело могут Вас развести и завладеть вашими денежными средствами.
    Для безопасности сделок рекомендуем пользоваться услугами Гарант сервиса.
     
Big.Bob