En ende på komplekse passwordregler: de nye NIST Digital Identity Guidelines foretrækker længde frem for kompleksitet. Hvad der ændres, og hvad organisationer skal tilpasse.
Afslutningen på gamle passwordregler
Den mest dramatiske ændring påvirker passwordkrav og bryder med alt, hvad IT-administratorer længe har betragtet som bedste praksis. Mens regelmæssige passwordskift hver 60 - 90 dage og komplekse sammensætningsregler blev betragtet som guldstandarden, forbyder de nye retningslinjer eksplicit disse praksisser.
Det nye paradigme kræver passwords på mindst 15 tegn til enkeltfaktor-autentificering og mindst 8 tegn, når multifaktor-autentificering er i brug. Systemer bør understøtte op til 64 tegn og acceptere alle printable ASCII- og Unicode-tegn. Samtidig er sammensætningsregler, der kræver forskellige tegntyper, fuldstændigt forbudt.
Begrundelsen er forskningsbaseret: et 15-tegns password lavet af simple ord som "korrekt hest batteri hæfteklammer bjerg" er eksponentielt sværere at knække end "P@ssw0rd123!", samtidig med at det også er lettere at huske.
Videnskab i stedet for tradition
Tvungen kompleksitet fører paradoksalt til svagere passwords. Brugere falder ind i forudsigelige mønstre: et stort bogstav i starten, tal til sidst, almindelige substitutioner som "@" for "a". Disse mønstre gør passwords forudsigelige for angribere.
Regelmæssige passwordrotationer er nu kun påkrævet, når der er konkret mistanke om kompromittering. Hyppige ændringer opmuntrer til svagere passwords eller forudsigelige variationer såsom "SikkertPassword2024" til "SikkertPassword2025".
Passwordhints og sikkerhedsspørgsmål er fuldt forbudt, fordi de ofte kompromitteres gennem social engineering.
Nye sikkerhedsforanstaltninger
Retningslinjerne introducerer en obligatorisk blokkeringsliste: alle nye passwords skal kontrolleres mod databaser med kompromitterede passwords, ordbogsudtryk og kontekst-specifikke udtryk.
Samtidig kræves der eksplicit støtte til passwordmanagere og autoudfyldningsfunktionalitet. Systemer bør tilbyde passwordafsløring under indtastning, tolerance for typografiske fejl og mobilinputhjælpemidler.
Udfordringer for producenter
For udviklere betyder retningslinjerne grundlæggende ændringer. Eksisterende passwordpolicy-motorer skal revideres: fjern sammensætningsregler, implementer længdevalidering og integrer blokkeringslistadatabaser.
Brugergrænseflader har brug for passwordafsløringsfunktioner, skal fjerne kopier-indsæt-begrænsninger og skal understøtte meget lange passwords. Backend-systemer kræver sikre hash-algoritmer, hastighedsbegrænsningsmekanismer og Unicode-støtte.
Legacysystemer står over for særlige udfordringer. Enterprise-identitetsstyringssystemer, Active Directory-politikker og compliance-software er bygget omkring de gamle paradigmer og kræver omfattende modifikationer. Samtidig opstår nye markedsmuligheder for NIST-kompatible passwordmanagere og autentificeringstjenester.
Andre vigtige ændringer
Revision 4 bringer integration af synkroniserbare autentifikatorer såsom passkeys, nye kontroller mod deepfakes, målinger til kontinuerlig vurdering og overvejelse af abonnent-kontrollerede tegnebøger.
Implementeringsudfordringer
Implementering kræver omfattende brugergenundervisning. Årtiers vaner skal ændres - mange mennesker skal lære, at længde betyder mere end kompleksitet.
Compliance-konflikter vil opstå, fordi mange branchestandarder stadig kræver gamle passwordregler. Organisationer vil finde sig selv i at balancere NIST-overholdelse med lovgivningskrav.
Teknisk gæld akkumuleret under år med forældede standarder kræver betydelig investering for at modernisere autentificeringsinfrastruktur.
Konklusion
NIST Digital Identity Guidelines Revision 4 markerer skiftet fra traditionelle til videnskabeligt baserede, brugervenlige sikkerhedspraksisser. Organisationer kan forbedre deres sikkerhedsstilling, mens de øger brugervenligheden.
Producenter står over for nye markedsmuligheder sammen med behovet for at modernisere produkter. Æraen med komplekse, korte passwords, der ændres regelmæssigt, er forbi - velkommen til tidsalderen med videnskabeligt baseret passwordsikkerhed.
De fulde retningslinjer er tilgængelige under NIST SP 800-63 Revision 4 med bindene Identity Proofing (Bind A), Authentication (Bind B) og Federation (Bind C).