NIST เผยแพร่ แนวทางสำหรับความปลอดภัยของรหัสผ่าน (Password) ซึ่งระบุในเอกสาร 800-63B ภาพรวมนั้นคล้ายกับแนวทางที่เคยระบุในเอกสารฉบับก่อนหน้า แต่มีการเปลี่ยนแปลงบางหัวข้อ ซึ่งหลายคนอาจคุ้นเคยว่าเป็นแนวทางตั้งรหัสผ่านที่ปลอดภัย แต่ NIST เปลี่ยนคำแนะนำแล้ว

โดยหัวข้อหนึ่ง NIST บอกว่า __ต้องไม่__กำหนดให้ตั้งรหัสผ่านที่ซับซ้อน ซึ่งมีทั้งอักษรตัวเล็ก-ตัวใหญ่ ตัวเลข และอักขระพิเศษ (Shall Not) แต่__ต้อง__กำหนดให้รหัสผ่านยาวอย่างน้อย 8 ตัวอักษร (Shall) และ__แนะนำ__ให้กำหนดอย่างน้อย 15 ตัวอักษร (Should) ซึ่งนักวิจัยของ NIST ให้ข้อมูลว่า รหัสผ่านที่ยาวกว่านั้นปลอดภัยกว่า และดีกว่าการไปกำหนดให้ตั้งรหัสผสมอักขระ

อีกหัวข้อที่ NIST เปลี่ยนแนวทางคือ การกำหนดรอบที่ต้องเปลี่ยนรหัสผ่าน โดย NIST ให้แนวทางว่า__ต้องไม่__บังคับผู้ใช้งานเปลี่ยนรหัสผ่านตามกำหนดเวลา แต่__ต้อง__บังคับให้เปลี่ยนรหัสผ่านหากมีหลักฐานการถูกเจาะข้อมูล ซึ่งนักวิจัย NIST บอกว่าการสั่งให้เปลี่ยนรหัสผ่านบ่อย ๆ ไม่ได้เพิ่มความปลอดภัย และอาจทำให้ความปลอดภัยลดลงด้วยซ้ำ รวมทั้งแนะนำให้องค์กรทำรายการรหัสผ่านที่ห้ามใช้ (blocklist) ซึ่งเป็นรหัสที่อ่อนแอหรือมีรายงานการถูกเจาะข้อมูล

NIST ยังเปลี่ยนให้__ต้องไม่__ใช้การถามคำถามเพื่อยืนยันตัวตน เช่น ชื่อสัตว์เลี้ยง เนื่องจากอาจถูก Social Engineering ได้ง่าย ส่วนการเข้ารหัสให้ใช้ Salt ร่วมกับปัจจัยอื่นที่ทำให้การโจมตีมีต้นทุนสูง

แนวทางการกำหนดรหัสผ่านในองค์กรทั้งหมดของ NIST ฉบับล่าสุดเป็นดังนี้

1. Verifiers and CSPs SHALLrequire passwords to be a minimum of eight characters in length and SHOULDrequire passwords to be a minimum of 15 characters in length.

2. Verifiers and CSPs SHOULDpermit a maximum password length of at least 64 characters.
3. Verifiers and CSPs SHOULDaccept all printing ASCII [RFC20] characters and the space character in passwords.
4. Verifiers and CSPs SHOULDaccept Unicode [ISO/ISC 10646] characters in passwords. Each Unicode code point SHALLbe counted as a single character when evaluating password length.
5. Verifiers and CSPs SHALL NOTimpose other composition rules (e.g., requiring mixtures of different character types) for passwords.
6. Verifiers and CSPs SHALL NOTrequire users to change passwords periodically. However, verifiers SHALLforce a change if there is evidence of compromise of the authenticator.
7. Verifiers and CSPs SHALL NOTpermit the subscriber to store a hint that is accessible to an unauthenticated claimant.
8. Verifiers and CSPs SHALL NOTprompt subscribers to use knowledge-based authentication (KBA) (e.g., “What was the name of your first pet?”) or security questions when choosing passwords.
9. Verifiers SHALLverify the entire submitted password (i.e., not truncate it).

ที่มา: Cyber Security News