Lássuk be, mára oly sok jelszót és azonosítót kell megjegyeznünk, még ha csak néhány digitális eszközzel rendelkezünk is, hogy az vagy a biztonság kárára megy, mert annyira könnyen megjegyezhetőket alkalmazunk, vagy nemes egyszerűséggel elfelejtjük kódjainkat. Várható volt, hogy változás lesz e téren.

   Május elsején lezárult az amerikai NIST (National Institute of Standards and Technology) által jegyzett új, digitális azonosságkezelési irányelvek (Digital Identity Guidelines) nyilvános vitája. A tervezet alapjaiban átgondolt jelszókövetelményeket tartalmaz – olvasható a Biztonságportál.hu írásában.
   Ahogy a portál cikkében olvasható, az iránymutatások ugyan (egyelőre) csak az amerikai szövetségi ügynökségekre nézve lesznek kötelezőek, vélhetőleg jelentős hatást gyakorolnak majd más szervezetekre, vállalatokra is, legalábbis, amelyek követik a legjobb biztonsági gyakorlatokat.
   Az ESET szakemberei szerint, ha alkalmazzák az irányelveket, akkor nem lesz többé kötelező szabály a jelszavak összetételére. Olyanokról van szó, mint például a kis- és nagybetűk, számok és speciális karakterek kötelező szerepeltetése.
   A jelszavak összetételének szabályozása helyett az NIST feketelista használatát javasolja, amely tartalmazza a leggyakrabban használt, vagy korábban kiszivárgott jelszavakat. Így ezek megadására nem lenne lehetőség.
   Az új szabályozás azt tanácsolja, hogy az alkalmazások, szolgáltatások ne kérjenek rendszeres jelszóváltoztatást a felhasználóktól, hacsak ők maguk ezt nem kezdeményezik. Ugyanakkor továbbra is szükség lehet a kötelezően előírt jelszómódosításra például akkor, ha egy szervezetet támadás, illetve adatvesztés ér. Az NIST úgy látja, hogy a felhasználóknak nincs türelmük állandóan új, erősebb jelszavakat kitalálni, így ez a megoldás több kárt okoz, mint hasznot.
   A jelszó-emlékeztetők és a tudásalapú azonosítás segíthet az elfelejtett jelszavak módosításában. Azonban ezek az adatok nagy értéket jelentenek a kiberbűnözők számára is, így egyre több oldalon szűnik majd meg ezek használata.
   Jelszó beállításakor a felhasználók szabadon választhatnak majd minden nyomtatható ASCII (a kód jelkészlete az angol abc betűit, számokat, írásjeleket és vezérlő kódokat tartalmazza) és UNICODE (a különböző írásrendszerek egységes kódolását és használatát leíró nemzetközi szabvány) karakterből, beleértve a hangulatjeleket is. Az ajánlás tervezete szerint lehetővé kell tenni a szóközök használatát is, amelyek a jelmondatok természetes részét képezik.
   Az új irányelvek szerint a jelszavak hossza kulcsfontosságú tényező a kódok erősségében. Egy megfelelő jelszónak minimum 8, maximum 64 karakter hosszúságúnak kell lennie. Az ESET szakemberei azonban felhívták a figyelmet arra, hogy a feltöréshez szükséges idő tekintetében 11 karaktertől történik igazán komoly ugrás, így érdemes legalább ilyen hosszú jelszavakat használni.
   A felhasználói fiókok és a védett erőforrások biztonsága érdekében a jövőben is szükség lesz a többfaktoros azonosításra. Az új ajánlások között szerepel az is, hogy az SMS üzeneteket (elsősorban mobilbiztonsági kockázatok miatt) a szervezetek ne forszírozzák a jövőben kétfaktoros azonosításhoz. A szakemberek inkább a szoftveres tokenek vagy az erre a célra kifejlesztett alkalmazások által generált, egyszer használatos jelszavak használatát javasolják – olvasható a Biztonságportál.hu cikkében