CERT Polska rekomenduje następujące zasady dla systemu uwierzytelniającego użytkownika:
- POWINIEN stosować bezpieczny algorytm hashujący do przechowywania haseł
- NIE POWINIEN wymuszać okresowej zmiany haseł użytkowników
- NIE POWINIEN pozwalać na ustawienie hasła znajdującego się na liście słabych/często używanych haseł
- NIE POWINIEN pozwalać na ustawienie hasła zawierającego przewidywalne człony (np. nazwa firmy, usługi)
- POWINIEN ustalać minimalną długość hasła na co najmniej 12 znaków
- POWINIEN pozwalać na ustawienie hasła o długości co najmniej do 64 znaków
- NIE POWINIEN wymagać dodatkowych kryteriów złożoności, np. znaków specjalnych, cyfr czy dużych liter
- POWINIEN wymuszać zmianę hasła jeśli potwierdzono, bądź zachodzi podejrzenie, że aktualne hasło zostało przejęte lub upublicznione
- POWINIEN podawać dokładny powód w przypadku odrzucenia nowego hasła
- NIE POWINIEN blokować wykorzystania funkcji “wklej” na polu hasła
- ZALECA SIĘ wsparcie dla uwierzytelniania dwuskładnikowego
- ZALECA SIĘ wyświetlanie użytkownikowi wskaźnika szacującego siłę nowego hasła
Nie zapominajmy o znaku specjalnym :)
CERT Polska rekomenduje następujące zasady dla systemu uwierzytelniającego użytkownika:
- POWINIEN stosować bezpieczny algorytm hashujący do przechowywania haseł
- NIE POWINIEN wymuszać okresowej zmiany haseł użytkowników
- NIE POWINIEN pozwalać na ustawienie hasła znajdującego się na liście słabych/często używanych haseł
- NIE POWINIEN pozwalać na ustawienie hasła zawierającego przewidywalne człony (np. nazwa firmy, usługi)
- POWINIEN ustalać minimalną długość hasła na co najmniej 12 znaków
- POWINIEN pozwalać na ustawienie hasła o długości co najmniej do 64 znaków
- NIE POWINIEN wymagać dodatkowych kryteriów złożoności, np. znaków specjalnych, cyfr czy dużych liter
- POWINIEN wymuszać zmianę hasła jeśli potwierdzono, bądź zachodzi podejrzenie, że aktualne hasło zostało przejęte lub upublicznione
- POWINIEN podawać dokładny powód w przypadku odrzucenia nowego hasła
- NIE POWINIEN blokować wykorzystania funkcji “wklej” na polu hasła
- ZALECA SIĘ wsparcie dla uwierzytelniania dwuskładnikowego
- ZALECA SIĘ wyświetlanie użytkownikowi wskaźnika szacującego siłę nowego hasła
Pamiętam jak ustalałem hasło do Taurona: 12 liter małych i dużych, 10 cyfr, 4 znaki specjalne - hasło za proste. Paranoja.