Три уровня защиты: от базового до максимального
ФСТЭК предлагает три уровня защиты, которые различаются сложностью «алфавита» пароля и жесткостью санкций за ошибки ввода. Во всех трех случаях минимальная длина остается неизменной - 10 символов. Однако если для самого простого уровня допустимо использовать алфавит из 30 символов (как правило, это только латинские буквы в разных регистрах плюс цифры), то для максимальной защиты потребуется набор из 70 знаков, включая спецсимволы. Логика проста: чем шире набор допустимых символов, тем сложнее злоумышленнику подобрать пароль методом перебора.
Различаются и временные рамки. В базовом варианте (алфавит от 30 символов) менять пароль можно не чаще чем раз в 120 дней, а за 3–10 неудачных попыток входа система заморозит доступ на срок от 3 до 15 минут. В самом строгом варианте (алфавит от 70 символов) срок действия пароля сокращается до 90 дней, количество допустимых ошибок падает до 3–5, а блокировка может растянуться уже на полчаса. Существует и промежуточный вариант с алфавитом от 60 символов и блокировкой от 5 до 30 минут, который балансирует между удобством пользователей и безопасностью.
Как выбрать подходящий сценарий
Что это значит на практике? Выбор конкретного сценария остается за владельцем системы, но теперь он обязан опираться на класс защищаемой информации. Для обычных корпоративных документов подойдет первый, самый мягкий вариант. Для систем с персональными данными или критической инфраструктурой, скорее всего, придется внедрять второй или третий уровень.
Рекомендации для пользователей и организаций
Пользователям стоит готовиться к тому, что придумывать комбинации из десяти знаков с учетом регистра и спецсимволов станет обыденностью, а три ошибки при вводе будут грозить получасовым «баном». Лучший способ выжить в новых реалиях - доверить запоминание паролей специализированным программам-менеджерам.
