El NIST recomienda algunas reglas de contraseñas de sentido común El segundo borrador de su “SP 800-63-4” (sus pautas de identificación digital) del NIST finalmente contiene algunas reglas realmente buenas sobre las contraseñas: Los siguientes requisitos se aplican a las contraseñas: Los verificadores y los CSP DEBEN exigir contraseñas para tener una longitud mínima de ocho caracteres y DEBE exigir que las contraseñas tengan una longitud mínima de 15 caracteres. Los verificadores y CSP DEBEN permitir una longitud máxima de contraseña de al menos 64 caracteres. Los verificadores y CSP DEBEN aceptar todas las impresiones ASCII. [RFC20] caracteres y el carácter de espacio en las contraseñas. Los verificadores y CSP DEBEN aceptar Unicode [ISO/ISC 10646] caracteres en contraseñas. Cada punto del código Unicode DEBE contarse como un carácter signo al evaluar la longitud de la contraseña. Los verificadores y los CSP NO impondrán otras reglas de composición (por ejemplo, requerir mezclas de diferentes tipos de caracteres) para las contraseñas. Los verificadores y CSP NO DEBEN exigir a los usuarios que cambien las contraseñas periódicamente. Sin embargo, los verificadores DEBEN forzar un cambio si hay evidencia de compromiso del autenticador. Los verificadores y los CSP NO permitirán que el suscriptor almacene una pista a la que pueda acceder un reclamante no autenticado. Los verificadores y los CSP NO DEBEN solicitar a los suscriptores que utilicen autenticación basada en conocimientos (KBA) (por ejemplo, «¿Cómo se llamaba su primera mascota?») ni preguntas de seguridad al elegir contraseñas. Los verificadores DEBEN verificar toda la contraseña enviada (es decir, no truncarla). Hurra. Artículo de noticias. Etiquetas: NIST, contraseñas, informes Publicado el 27 de septiembre de 2024 a las 7:01 a. m. • 0 comentarios Foto de la barra lateral de Bruce Schneier por Joe MacInnis.