NIST тут опубликовал Digital Identity Guidelines. В этом документе (обязательном к исполнению для правительственных служб США и их контракторов) явным образом запрещаются наиболее идиотские политики работы с паролями, распространенные в корпоративном мире.
Так, например, запрещается требовать регулярной смены паролей. Требовать смены пароля можно и нужно только если есть подозрение на компрометцию.
Нельзя требовать наличие в пароле символов из каких-то определенных наборов. Типа чтобы обязательно присутствовала хотя бы одна цифра или хотя бы один знак препинания. Это up to user, как обеспечить требуемую энтропию.
Зато требуется длина не менее 8 символов (а лучше не менее 15) и иметь возможность использовать как минимум 64 символа.
В общем, фашиствующие сисадмины, которые своим security theater реально снижают безопасность, стали настолько реальной проблемой, что в США приходится с ними бороться посредством государственного регулирования.
См также на слэщдоте и arstechnica.
comments
В первые дни января обозреватель «Новой газеты» Юлия Латынина* опубликовала большую статью с подзаголовком «История самого крупного научного фейка ХХ века». В ней говорится о так называемой «хоккейной клюшке Манна» — представленной более двадцати лет назад реконструкции средней температуры в Северном полушарии. Назвав эту реконструкцию «фейком», автор статьи пошла дальше и поставила под сомнение саму концепцию глобального изменения климата под влиянием человеческой деятельности. N + 1 предложил прокомментировать публикацию Латыниной климатологу, старшему научному сотруднику Лаборатории теории климата Института физики атмосферы имени Обухова РАН Александру Чернокульскому.