Polityka haseł: długość a złożoność

Polityka haseł: długość vs złożoność -- co tak naprawdę zaleca NIST

NIST SP 800-63B (zaktualizowane 2024) odwróciło dekady porad dotyczących haseł: przestań wymuszać reguły złożoności, zacznij wymagać długości. Oto dlaczego, z matematyką, która to udowadnia.

Matematyka entropii

Entropia mierzy, jak trudne jest złamanie hasła przy użyciu brute-force. Formuła to log2(charset_size ^ length).

Hasło o długości 16 znaków z samych małych liter jest 8 milionów razy trudniejsze do złamania niż hasło "złożone" o długości 8 znaków. Długość zwycięża.

Co mówi NIST SP 800-63B

Dlaczego reguły złożoności nie działają

Gdy wymuszasz wzorce P@ssw0rd!, użytkownicy robią dokładnie to -- przewidywalne zamiany, które narzędzia do łamania haseł wykorzystują jako pierwsze. Ataki słownikowe z regułami leet-speak łamią Tr0ub4dor&3 w sekundy. Tymczasem correct horse battery staple (4 losowe słowa, ~44 bity z listy 2048 słów, lub wybierz 5-6 słów dla 55-66 bitów) jest zarówno silniejsze, jak i bardziej zapamiętywalne.

Praktyczna implementacja

# Pseudokod dla walidacji zgodnej z NIST
def validate_password(password: str, blocklist: set) -> bool:
    if len(password) < 12:
        return False  # wymuś minimalną długość
    if password.lower() in blocklist:
        return False  # odrzuć znane hasła, które zostały naruszone
    return True  # nie są potrzebne reguły złożoności

Użyj menedżera haseł, aby wygenerować losowe hasła o długości 16-20 znaków dla każdego konta. Wypróbuj Generator haseł, aby utworzyć hasła o wysokiej entropii w kilka sekund -- ustaw długość na 16+ i pomiń reguły złożoności.

Podsumowanie

Zaktualizuj politykę haseł Twojej organizacji: minimalna długość 12 znaków, sprawdzenie listy haseł, które zostały naruszone, brak wymuszonej rotacji, brak reguł złożoności. Uzyskasz silniejszą ochronę i mniej biletów pomocy technicznej.

Pokrewne