Americký Národní institut standardů a technologií (NIST) navrhuje zásadní změny v pravidlech pro tvorbu hesel. Podle nových doporučení už nebude nutné používat složité kombinace znaků nebo pravidelně měnit hesla, což bývalo kontraproduktivní.

Hesla by měla mít minimálně 8 až 15 znaků, s možností použití až 64 znaků. Klíčovým se stává délka hesla, nikoliv jeho složitost. Důraz je také kladen na zrušení bezpečnostních otázek a podporu většího množství znaků včetně Unicode.

Ars Technica nová doporučení shrnuje:

1. Hesla MUSÍ být dlouhá nejméně 8 znaků, a MĚLA by být dlouhá nejméně 15 znaků.

2. Maximální délka hesla MUSÍ být alespoň 64 znaků.

3. V heslech MUSÍ být akceptovány všechny viditelné znaky ASCII [RFC20] a znak mezery.

4. V heslech MUSÍ být akceptovány znaky Unicode [ISO/ISC 10646]. Při vyhodnocování délky hesla se každý kódový bod Unicode MUSÍ počítat jako jeden znak.

5. Pro hesla se NESMÍ stanovovat jiná pravidla složení (např. vyžadovat směsi různých typů znaků).

6. NESMÍ se vyžadovat, aby uživatelé hesla pravidelně měnili. Ověřovatelé si však vynucují změnu, pokud existuje důkaz o kompromitaci ověřovatele.

7. Uživatel NESMÍ získat nápovědu k heslu bez autentizace.

8. Pro stanovení hesla nebo bezpečnostních otázek se NESMÍ používat ověřování založené na znalostech (KBA – knowledge-based authentication). Na příklad: Jak se jmenovalo vaše první domácí zvíře?

9. Ověřovatelé MUSÍ ověřit celé zadané heslo (tj. nezkracovat je).

(Obrázek z upoutávky: Správce hesel z Joom)