Igen: reglerna säger ”shall not”. Du har säkert i egenskap av användare ställts inför kravet flera gånger, men Nist (National Institute of Standards and Technology) förbjuder kravet.

Existerande lösenordspraxis är ålderstigen och ogenomtänkt. Nya regler förbereds i standarden SP 800-63-4, en standard för amerikanska myndigheter och organisationer – och de som önskar integrera sig med dem. Ett andra utkast släpptes förra månaden.

Kravet på blandad teckenkompott höjer teoretiskt lösenordets entropi, slumpmässighet. Men i praktiken är kravet kontraproduktivt eftersom användare hittar enkla strategier för att runda kravet – ”första bokstaven stor, resten små, avsluta med noll, utropstecken”.

En annan gammal praxis som ställs på huvudet i den kommande standarden är att lösenord ska bytas med jämna mellanrum. Tvärtom. Du får inte kräva det. Det gör dem jobbiga att memorera och användarna numrerar sina lösenord istället, vilket underlättar för inkräktaren att gissa. 

Här är några av Nists nya regler för dig som registrerar lösenord.

• Kräv minst åtta tecken
• För guldstjärna från Nist, kräv gärna femton tecken 
• Tillåt minst 64 tecken.
• Du får inte kräva blandad kompott av teckentyper.
• Tillåt gärna alla specialtecken i sjubitars ASCII – det vill säga sparka inte bakut om  användaren försöker ha blanktecken eller tumtecken i lösenordet 
• Tillåt gärna Unicode-tecken – där finns ÅÄÖ och emojis bland mycket annat. De kan i datorn lagras i flera byte men ska bara räknas som ett tecken. 
• Du får inte kräva periodiskt byte av lösenord.
• Men du måste tvinga fram byte av lösenord vid tecken på att det komprometterats.
• Klipp inte användarens lösenord när du lagrar det.
• Du får inte basera autentisering på kunskapsfrågor, som ”ditt första telefonnummer”.
• Du får inte lagra och presentera ledtrådar till lösenordet

Källa: Ars Technica