Americký Národní institut pro standardy a technologie (NIST) vydal nové doporučení pro správu hesel, které mění zastaralé bezpečnostní politiky a přizpůsobuje je moderním požadavkům. Cílem je zvýšit bezpečnost hesel, snížit zátěž uživatelů a podpořit používání jednodušších, ale účinnějších autentizačních metod.
Proč se pravidla mění?
Stávající pravidla pro hesla vznikla v době, kdy byly kybernetické hrozby jiné než dnes. V minulosti bylo běžnou praxí nutit uživatele měnit hesla každých 60 až 90 dní nebo vyžadovat složité kombinace znaků. Moderní výzkumy však ukazují, že tato pravidla vedla spíše k tvorbě slabých, předvídatelných hesel (např. „P@ssw0rd!“), které usnadňují prolomení. NIST proto navrhuje zjednodušit pravidla pro uživatele a zároveň zlepšit jejich bezpečnostní návyky.
Nová pravidla pro hesla podle NIST
NIST vydalo 9 konkrétních doporučení, která mají podpořit bezpečnější správu hesel a zlepšit uživatelskou zkušenost:
| DOPORUČENÍ | POPIS |
|---|---|
| MINIMÁLNÍ DÉLKA HESLA | Hesla musí být dlouhá minimálně 8 znaků, ale ideálně by měla mít alespoň 15 znaků. Delší hesla nebo pasfráze (např. „Můj_pes_má_rád_kost!“) jsou bezpečnější a snáze zapamatovatelná. |
| MAXIMÁLNÍ DÉLKA HESLA | Ověřovatelé (Verifiers) a poskytovatelé identit by měli povolit hesla dlouhá až 64 znaků, což uživatelům umožňuje vytvářet i velmi dlouhá hesla nebo pasfráze. |
| POVOLENÉ ZNAKY | Hesla mohou obsahovat všechny tisknutelné znaky ASCII, včetně mezer, což znamená, že uživatelé mají volnost při vytváření hesel. |
| PODPORA UNICODE | Ověřovatelé by měli přijímat i znaky Unicode, které uživatelům umožňují používat znaky z různých jazyků a abeced, což ještě více posiluje variabilitu hesel. |
| ŽÁDNÁ PRAVIDLA SLOŽITOSTI | Není nutné vyžadovat, aby hesla obsahovala specifické kombinace znaků, jako jsou velká a malá písmena, číslice nebo speciální znaky. Délka hesla je důležitější než jeho složitost. |
| ŽÁDNÁ POVINNÁ ZMĚNA HESLA | Pokud není důkaz o tom, že bylo heslo kompromitováno, uživatelé by neměli být nuceni měnit své heslo pravidelně. Tato praxe často vede k používání vzorců nebo změn pouze jedné části hesla (např. „Heslo2023“ → „Heslo2024“). |
| ZAKÁZÁNÍ NÁPOVĚDY K HESLU | Nápovědy k heslům, které jsou dostupné neautentizovaným uživatelům, by měly být zakázány. Tyto nápovědy mohou útočníkům poskytnout cenné informace, které jim usnadní prolomení hesla. |
| BEZPEČNOSTNÍ OTÁZKY (KBA) | NIST důrazně nedoporučuje používat otázky jako „Jak se jmenoval váš první domácí mazlíček?“ nebo „Kde jste se narodili?“. Tyto otázky jsou často snadno dohledatelné a představují vážné bezpečnostní riziko. |
| OVĚŘENÍ PLNÉ DÉLKY HESLA | Ověřovatelé musí zajistit, že při kontrole hesla se kontroluje celá jeho délka a není zkracováno na menší počet znaků. To zajistí, že dlouhá hesla zůstávají plně efektivní. |
Doporučení pro firmy
Zrevidujte bezpečnostní zásady
Organizace by měly přehodnotit svá aktuální pravidla pro správu hesel a přizpůsobit je novým standardům NIST. Cílem je, aby hesla byla nejen bezpečnější, ale i uživatelsky přívětivější.
Vzdělávejte zaměstnance
Je klíčové, aby zaměstnanci rozuměli důležitosti vytváření silných hesel a používali pasfráze, které si snadno zapamatují, ale které jsou pro útočníky těžké na prolomení.
Zaveďte vícefaktorovou autentizaci (MFA)
Vícefaktorová autentizace by měla být zavedena jako standard, protože výrazně zvyšuje bezpečnost přístupu, i když samotné heslo není dostatečně silné.
Podpora správců hesel
Doporučuje se také implementace správců hesel, kteří umožňují generovat a bezpečně ukládat silná hesla, čímž odpadá nutnost si je pamatovat.
NIST svým novým přístupem k heslům reaguje na rostoucí sofistikovanost útoků a zároveň se snaží ulehčit uživatelům tvorbu bezpečných hesel. Odstranění složitých pravidel a zavedení důrazu na délku hesel pomůže zlepšit kybernetickou bezpečnost v organizacích po celém světě.
Pokud hledáte způsob, jak do svých firemních zásad zavést doporučení NIST pro správu hesel, rádi vám pomůžeme s jejich implementací. Tato pravidla pomohou zvýšit bezpečnost vašich systémů a zjednodušit správu hesel. Zároveň je klíčové mít v organizaci nasazenou vícefaktorovou autentizaci (MFA), která se od 15. října 2024 stane povinnou pro privilegované účty a administrativní portály v rámci Microsoft 365, jako jsou Microsoft Azure portal, Microsoft Entra admin center a Microsoft Intune admin center.
Naše společnost vám může asistovat s konfigurací MFA i dalších bezpečnostních prvků, které ochrání vaše účty před phishingem a útoky. Implementace správné autentizace snižuje riziko prolomení účtu o více než 99 %. Pokud vaše firma ještě nemá nastavenou vícefaktorovou autentizaci, neváhejte nás kontaktovat – zajistíme bezpečnou a snadnou integraci těchto nástrojů do vašich systémů.
