"הסיסמה שלכם תפוג בעוד שלושה ימים. אם לא תבחר עכשיו סיסמה חלופית, לא תוכל להתחבר" - הודעות כאלו מוכרות לכל עובד בחברה שמספקת מחשבים או שירות מקוון כלשהו לעובדים. הסיבה היא שמנהלי האבטחה בארגונים מאמינים שהחלפת סיסמה תקופתית מעלה את רמת האבטחה - אבל הם טועים.
מי שקבע את זה הוא לא אנחנו, אלא NIST ("המוסד הלאומי לסטנדרטים וטכנולוגיה" בארה"ב) - הארגון שהוציא ב-2003 את המסמך שהיווה עד היום יסוד לכללי השימוש בסיסמאות המקובלים בכל העולם.
יותר מכך - בראיון לוול-סטריט ג'ורנל השבוע ביקש וויליאם (ביל) בר, מי שניסח את המסמך בן 8 העמודים במסגרת תפקידו ב-NIST, להתנצל על כך. "על הרבה ממה שעשיתי אני מתחרט עכשיו", הוא אמר.
כידוע, בין הכללים שקבע בר נכללו דרישה לשימוש באותיות גדולות, אותיות קטנות וסימנים כדי להגביר את הבטיחות של סיסמאות, כמו גם המלצה לשינויים תקופתיים שלהן - מה שהוביל רבים לבחור סיסמאות שניתן להחליף בהן כל פעם ספרה או אות אחת ולהמשיך להשתמש למעשה באותה סיסמה בהבדל קל.
"בסופו של דבר, לאנשים רבים כנראה היה מסובך מדי להבין היטב את ההנחיות, ולמען האמת - זו היתה התמקדות במטרה הלא נכונה".
לאחרונה פרסם הארגון הנחיות חדשות לשימוש בסיסמאות - והפעם, מאמין בר בן ה-72 שהשתתף שוב בניסוח הכללים, הם גם יהיו נוחים יותר למשתמשים וגם בטוחים יותר לארגונים.
ההנחיות החדשות שונות באופן דרמטי מהקודמות. כך, למשל, הן קובעות כי החלפת סיסמה תידרש רק אם זוהתה פרצת אבטחה שחשפה את הסיסמאות הקיימות של משתמשים; בנוסף, הדרישה לשילוב של אותיות גדולות וקטנות באנגלית לצד סימנים אחרים בוטלה; לעומת זאת, הותר השימוש ביוניקוד - שבעברית פשוטה, זה אומר שאפשר לבחור סיסמות בשפות שאינן נכתבות באותיות לטיניות, כמו "לאיהיהכלוםכיאיןכלום"; לגבי האורך, משאיר הארגון את ההמלצה לדרוש לפחות 8 תווים (או לפחות 6 אם הסיסמה נבחרת באקראי על ידי נותן השירות ולא על ידי המשתמש) - אך מוסיף המלצה לסיסמאות ארוכות, כמו משפטים שלמים (שוב, "לאיהיהכלוםכיאיןכלום"); הנחיה מעניינת במיוחד היא לאפשר למשתמשים לבחור להציג את הסיסמה על המסך בזמן ההקלדה, במקום הכוכביות או הנקודות הנהוגות, כדי שיוכלו לראות אם הם מקלידים נכון.
מצד שני, הכללים החדשים כוללים גם כמה החמרות קלות: הם דורשים למנוע בחירת סיסמאות שנמצאות במאגרי סיסמאות שנפרצו כבר; למנוע בחירת סיסמה הכוללת תווים עוקבים או את שם השירות (לא עוד "1234face" בפייסבוק ו"1234gmail" בג'ימייל); ואיסור על מתן אפשרות להצגת רמז לסיסמה ("מי אלופה?" - אם כי אם הסיסמה שלכם היא "MaccabiAlufa", כנראה שהרמז הוא לא מה שיקל על האקרים לנחש אותה).
המלצה נוספת, שלא ברור למה היה צריך לחכות ל-2017 כדי לפרסם, היא דרישה מארגונים להגביל את מספר ה"ניחושים" הלא נכונים הרצופים לסיסמה, כדי למנוע מתקפות שמנסות עוד ועוד סיסמאות עד שהן מגיעות לנכונה - ומצד שני לבחור בהגבלה גבוהה יחסית, שתמנע אלפי ניחושים אך תאפשר כמה וכמה טעויות מצד בן אנוש.