Përdorimi i një fjalëkalimi me karaktere të ndryshme dhe ndryshimi i rregullt i fjalëkalimeve nuk janë më praktikat më të mira të menaxhimit të fjalëkalimeve. Kjo është sipas udhëzimeve të reja të publikuara nga Instituti Kombëtar i Standardeve dhe Teknologjisë i SHBA-së, i cili zhvillon dhe nxjerr udhëzime për të ndihmuar organizatat të mbrojnë sistemet e tyre të informacionit.
Udhëzimet e reja u publikuan në shtator 2024. Për vite me radhë, sugjerohej që fjalëkalimet të ishin shumë komplekse, duke kombinuar shkronja të mëdha dhe të vogla, numra dhe simbole. Ky kompleks mendohej se i bënte fjalëkalimet më të vështira për t’u gjetur ose për t’u thyer përmes sulmeve kibernetike. Megjithatë, këto kërkesa komplekse shpesh çuan që përdoruesit të adoptonin zakone të dobëta, të tilla si ripërdorimi i fjalëkalimeve ose zgjedhja e atyre tepër të thjeshta që mezi plotësonin kriteret, si “P@ssw0rd123“.
Me kalimin e kohës, NIST zbuloi se ky fokus në kompleksitetin ishte joproduktiv dhe në fakt dobësoi sigurinë në praktikë. Në udhëzimin e tij të fundit, NIST është larguar nga zbatimi i rregullave të kompleksitetit në favor të përdorimit të fjalëkalimeve më të gjata.
)
Ka disa arsye për këtë ndryshim: Studimet zbuluan se përdoruesit shpesh kanë vështirësi për të kujtuar fjalëkalimet komplekse, duke i shtyrë ata të ripërdorin të njëjtat fjalëkalime nëpër faqe të shumta ose të mbështeten në modele lehtësisht të gjetshme, si zëvendësimi i shkronjave me numra ose simbole me pamje të ngjashme.
Gjithashtu këshilla për të ndryshuar fjalëkalimin tuaj çdo 60 deri në 90 ditë, nuk rekomandohet më nga NIST. Forca e fjalëkalimit matet shpesh me masën e paparashikueshmërisë. Me fjalë të tjera, numri i kombinimeve të mundshme që mund të krijohen duke përdorur karakteret në një fjalëkalim. Sa më i madh të jetë numri i kombinimeve, aq më e vështirë është për sulmuesit që të thyejnë fjalëkalimin përmes metodave brute-force ose hamendjes.
Një fjalëkalim më i gjatë me më shumë karaktere ka në mënyrë eksponenciale më shumë kombinime të mundshme, duke e bërë më të vështirë për sulmuesit të hamendësojnë, edhe nëse vetë karakteret janë më të thjeshtë. Fjalëkalime të gjata që janë më të lehta për t’u mbajtur mend.
Në rekomandimin e tyre të ri, NIST thekson lejimin e përdoruesve të krijojnë fjalëkalime me gjatësi deri në 64 karaktere. Një fjalëkalim me 64 karaktere duke përdorur vetëm shkronja të vogla dhe fjalë reale do të ishte jashtëzakonisht i vështirë për t’u thyer. Nëse përfshihen shkronja të mëdha dhe simbole, thyerja e fjalëkalimit do të ishte pothuajse e pamundur matematikisht.
