A Wall Street Journal hasábjain kért bocsánatot a felhasználóktól az Egyesült Államok Szabványügyi és Technológiai Intézetének (NIST) egykori munkatársa, amiért évekig azt ajánlgatták, hogy a több különböző karakterből (kisbetű, nagybetű, szám, különleges írásjel) álló jelszavak a legbiztonságosabbak, de még ezeket is célszerű háromhavonta megváltoztatni. Bill Burr, aki 2003-ban dolgozta ki a NIST útmutatóját a biztonságos jelszavakról, mára belátta: ez nem feltétlen van így.
A bonyolult, ám de erősnek vélt jelszavakkal ugyanis több gond van: egyrészt nehéz őket megjegyezni (kiváltképp, ha egy felhasználónak több különböző jelszóra is szüksége van például személyes, illetve munkahelyi számítógépén), ezért sokan felírják maguknak valahova, ami eleve biztonsági kockázatokkal jár. Ez az oka annak is, hogy sokan túl egyszerű jelszavakat találnak ki maguknak (mint nevük, kedvenc hobbijuk és születési évük kombinációi), továbbá mára egyértelművé vált, hogy a kiberbűnözők erre létrehozott programjai egyszerűbben megfejtik a különböző karakterekből álló jelszavakat.
Ennek ellenére számos weboldalon regisztrációkor kötelezővé teszik a NIST eddigi útmutatója szerinti jelszavak használatát, ami a világ valamennyi országában elterjedt. A Kaspersky Lab kiberbiztonsági cég idei felmérése szerint az internetezők többsége nem megfelelő jelszót, sőt gyakran ugyanazt a jelszót használja több fiókhoz is. Kiderült az is, hogy az eddigi szabvány komplexitása miatt a megkérdezettek csupán 47 százaléka használja a kis- és nagybetű, valamint számkombinációkat a jelszó létrehozásakor.
Burr egyébként bevallotta, hogy az útmutató készítésekor egy nyolcvanas évekbeli, vagyis az ajánlások publikálásakor már igencsak elavultnak tekinthető tanulmányt követett, mind az internet elterjedtsége, mind a kiberbűnözés fejlettsége tekintetében.
A NIST nemrégiben újabb ajánlásokat tett közzé: ezek már nem sokféle karakterből álló jelszavak, hanem több szóból összerakott, mondatszerű biztonsági kódot javasolnak. A tapasztalatok ugyanis azt mutatják, hogy a jelszó hosszúsága biztonságosabb, mint több különböző karakter keverése egyetlen rövid szóban.
Maximális biztonságot önmagában persze ez sem jelent, számos más szempontot és lehetőséget (mint például a kétlépcsős azonosítás) is figyelembe kell venni, de hatásosabb és nem utolsó sorban könnyebben megjegyezhető, mint az eddigiek.