CERT, Rekomendacje techniczne dla systemów uwierzytelniania

Poniższy dokument skierowany jest do administratorów, twórców i projektantów systemów informatycznych wymagających kontroli dostępu użytkowników i pozwalających na uwierzytelnienie z użyciem hasła.

CERT Polska rekomenduje następujące zasady dla systemu uwierzytelniającego użytkownika:

POWINIEN stosować bezpieczny algorytm hashujący do przechowywania haseł1

NIE POWINIEN wymuszać okresowej zmiany haseł użytkowników2

NIE POWINIEN pozwalać na ustawienie hasła znajdującego się na liście słabych/często używanych haseł3

NIE POWINIEN pozwalać na ustawienie hasła zawierającego przewidywalne człony (np. nazwa firmy, usługi)

POWINIEN ustalać minimalną długość hasła na co najmniej 12 znaków

POWINIEN pozwalać na ustawienie hasła o długości co najmniej do 64 znaków

NIE POWINIEN wymagać dodatkowych kryteriów złożoności, np. znaków specjalnych, cyfr czy dużych liter

POWINIEN wymuszać zmianę hasła jeśli potwierdzono, bądź zachodzi podejrzenie, że aktualne hasło zostało przejęte lub upublicznione

POWINIEN podawać...