Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) artık parola yönetiminde en iyi uygulamalar kapsamında parolalarda farklı karakter türlerinin bir arada kullanılmasını veya parolaların düzenli olarak değiştirilmesini önermiyor.
NIST’in şifre yönergelerinin ikinci kamuya açık taslak versiyonu (SP 800-63-4) teknik gereklilikleri ve parola yönetimi ve kimlik doğrulaması için önerilen en iyi uygulamaları ana hatlarıyla belirtir. En son yönergeler, kimlik bilgisi hizmet sağlayıcılarının (CSP) kullanıcıların belirli türler veya karakterler kullanan parolalar belirlemesini ve periyodik parola değişiklikleri (genellikle her 60 veya 90 günde bir) zorunluluğunu kaldırmasını önermektedir. Ayrıca, CSP’ler parola seçerken bilgi tabanlı kimlik doğrulama veya güvenlik soruları kullanmayı bırakmalıdır.
Diğer öneriler şunlardır:
-
Şifreler en az 15 karakter uzunluğunda olmalıdır
-
CSP’ler en az 64 karakter uzunluğunda parolalara izin vermelidir
-
CSP’ler parolalarda ASCII ve Unicode karakterlerinin kullanılmasına izin vermelidir
NIST ilk olarak 2017’de parola önerilerini (NIST 800-63B) tanıttığında, karmaşıklığı önerdi: büyük ve küçük harflerin, sayıların ve özel karakterlerin bir karışımı olan parolalar. Ancak, karmaşık parolalar her zaman güçlü değildir (bkz. ‘Password123! veya ‘q1@We3$Rt5’). Ve karmaşıklık, kullanıcıların bunları tahmin edilebilir ve tahmin edilmesi kolay hale getirmek, bunları kolayca bulunabilecek yerlere yazmak veya hesaplar arasında yeniden kullanmak gibi şeyler yaptığı anlamına geliyordu. Son yıllarda, NIST odağını parola uzunluğuna kaydırdı, çünkü daha uzun parolaların kaba kuvvet saldırılarıyla kırılması daha zordur ve kullanıcılar tarafından tahmin edilebilir olmadan hatırlanması daha kolay olabilir.
NIST ayrıca yalnızca kimlik bilgisi ihlali durumunda parola sıfırlamalarını önermeye başladı. İnsanların parolalarını sık sık değiştirmeleri, insanların daha zayıf parolalar seçmesine neden oluyordu.