Използването на сложни пароли с комбинацията от различни типове символи и редовната смяна на паролите е призната от Националния институт по стандарти и технологии на САЩ (NIST) за недостатъчно ефективна практика. Хакерите лесно пробиват подобни пароли. NIST публикува нови препоръки за потребители и компании в рамките на публичен документ NIST SP 800-63-4.
Много години се смяташе, че за да са надеждни паролите трябва да са максимално сложни и да включват малки, главни букви, цифри и специални символи. Предполагаше се, че подобни пароли по-трудно могат да се налучкат или хакнат с помощта на специални програми. Но с времето експертите са стигнали до извода, че прекомерната сложност на паролите води до обратен ефект.
Съгласно новото ръководство, NIST вече не настоява за спазване на строги правила, касаещи сложността на паролите, а вместо това препоръчва те да са по-дълги. Причините за това са няколко. Преди всичко, както показват изследванията, потребителите трудно помнят сложни пароли, което често води до това, че те започват да използват една и съща парола за различни сайтове или измислят прекалено проста комбинация от символи, само и само да съответства на минималните изисквания. За пример ще посочим P@ssw0rd123, която технически съответства на условията за сложност, но лесно се поддава на налучкване.
Освен това, изискването да се сменят паролите на всеки 60-90 дни, което преди беше разпространена практика в много организации, също повече не се препоръчва. Това изискване често само влошаваше ситуацията, тъй като водеше до създаване на по-малко надеждни пароли заради необходимостта от честата им смяна. NIST препоръчва да се откажем от сложните пароли в полза на по-дългите, но прости пароли и обяснява защо.
Силата на паролата често се измерва с понятието ентропия – в случая количеството непредсказуема комбинация от символи. Колкото по-голяма е ентропията, толкова по-трудно хакерите могат да пробият паролата чрез проба на комбинациите. Макар сложността на паролата може да увеличи ентропията, дължината на паролата от прости символи играе много по-важна роля.
NIST предлага да се използват дълги пароли, които лесно могат да се запомнят, в частност фрази от няколко прости думи. За пример се дава фразата bigdogsmallratfastcatpurplehatjellobat, която ще е както безопасна, така и удобна за потребителя (поне за тези, които знаят добре английски). Подобна парола съчетава в себе си висока степен на ентропия и лекота при използване, което помага да се избягват небезопасни навици, такива като записване на пароли или повторното им използване.Макар съвременните технологии значително да опростяват взлома на късите пароли, при дългите даже сложните алгоритми се затрудняват заради огромния брой възможни комбинации.
Днес NIST вече препоръчва на компаниите да разрешат на потребителите да създават пароли с дължина до 64 символа. Такава парола, даже да се състои от малки букви и познати символи, ще е изключително трудна за пробиване. А ако към нея се добавят и главни букви и символи, хакването ѝ ще стане практически невъзможно.