Cât de sigure sunt parolele din compania ta? În mod normal, fiecare companie căreia îi pasă cât de cât de securitatea sistemelor IT are o politică de parole definită pentru a fi folosită de către toți angajații. Dacă ai căutat pe internet acest lucru și ai ajuns aici, înseamnă că fie această politică de parole nu există, fie nu este definită după ultimele standarde.
Dacă ai nevoie de o politică de parole actualizată după standardele din 2025 – eficientă, care nu înseamnă doar reguli de compoziție, ci o abordare strategică, adaptată la riscurile reale și la tipul de utilizator – în rândurile următoare am documentat, după standarde internaționale recunoscute, cum ar trebui să arate o astfel de politică, cum ar trebui adaptată în funcție de rolurile utilizatorilor și ce greșeli să eviți. Fără promovare de produs, doar bune practici și recomandări aplicabile imediat.
De ce contează politica de parole
Majoritatea atacurilor de tip credential stuffing sau brute-force reușesc pentru că sunt folosite parole slabe, reutilizate sau gestionate defectuos. O politică de parole bine gândită:
- Scade riscul de compromitere a parolelor.
- Crește responsabilitatea utilizatorilor fără a le îngreuna inutil munca.
- Te ajută să fii în conformitate cu standardele precum NIST, ISO 27001 sau NIS 2 (UE).
Ce spun standardele globale
Cel mai des invocat standard este NIST SP 800-63B, care recomandă:
- Să nu se impună reguli complexe de compoziție (simboluri, litere mari etc.) – preferabil să fie înlocuite de fraze de acces lungi (passphrases).
- Minim 8 caractere, preferabil peste 12.
- Blacklist de parole comune (dictionary check).
- Fără expirare periodică, decât dacă există suspiciune de compromitere.
- Interzicerea parolelor care conțin username sau date personale.
Aceste recomandări sunt completate în Europa de cerințele NIS 2 și de politicile interne specifice industriei (ex: finance, healthcare).
Ce zice NIST vs. ce se practică în industrie
Aici trebuie să facem niște precizări cu privire la diferențele dintre ceea ce recomandă NIST și ceea ce se practică în industrie. Reglementările NIST au fost revizuite în 2020 cu privire la parole. Companiile însă au politici de parole de mult mai mulți ani.
Deși NIST recomandă renunțarea la reguli stricte de compoziție în favoarea parolelor lungi și ușor de reținut, multe organizații impun în continuare seturi clasice de reguli (litere mari/mici, simboluri, cifre) — fie din inerție, fie din motive de compatibilitate sau audit.
În industrie există o expresie care spune că regulile de securitate nu sunt neapărat prietenoase cu utilizatorii, de aceea intervine un fel de rezistență și frustrare împotriva lor. Astfel, în loc ca acele reguli să aducă un nivel de securitate îmbunătățit, de fapt fac ecosistemul companiilor mai vulnerabil pentru că se încearcă evitarea lor.
Tocmai aici vine directiva NIST să relaxeze regulile, pentru ca utilizatorii să adopte reglementările, dar în același timp să se păstreze un nivel ridicat de siguranță.
Exemplu:
Pentru a înțelege recomandările NIST, luăm următorul exemplu:
P@rola2025
✔️ Bifează reglementările complexe de compoziție
❌ Este predictibilă și ușor de ghicit
urs liniștit toamna la cluj
❌ Nu bifează reglementările stricte
✔️ Este lungă, greu de spart și ușor de reținut de către utilizator. De ce este greu de spart, se poate vedea aici.
O soluție echilibrată ar fi ca, pe lângă parole lungi (12–16 caractere), să fie oferită și posibilitatea passphrase-urilor. Dacă păstrezi reguli de compoziție, fă-le clare și evită suprapunerea inutilă care doar frustrează utilizatorii.
Politica de compoziție a parolelor după bunele practici din industrie
✅ Tabel cu recomandări + referințe din standarde din industrie
| Parametru | Conturi de urgență | Utilizatori privilegiați | Utilizatori obișnuiți | Referință standard |
|---|---|---|---|---|
| Lungime minimă parolă | 16 | 16 | 12 | NIST 5.1.1.2: min. 8, preferabil ≥12 |
| Lungime maximă parolă | 64 | 64 | 64 | NIST 5.1.1.2: suportă 64 caractere |
| Cifre, litere mari/mici, simboluri | Da | Da | Da | ISO 27001 A.9.4.3 (dar NIST descurajează compoziția forțată) |
| Repetiții consecutive permise | Max. 2 caractere | Max. 2 caractere | Max. 2 caractere | NIST 5.1.1.2: recomandă prevenirea secvențelor repetitive |
| Parole din listă slabă (blacklist) | Nu | Nu | Nu | NIST 5.1.1.2: elimină parole compromise/predictibile |
| Parolă conține username/nume afișat | Interzis | Interzis | Interzis | NIST 5.1.1.2: exclude parole care conțin date personale |
| Expirare parolă | Niciodată | La 90 zile | La 365 zile | NIST 5.1.1.2: nu recomandă expirarea, decât în cazuri justificate |
| Istoric parole (câte salvate) | 5×rotiri/an | 20 | 5 | ISO 27001 A.9.4.3: interzice reutilizarea |
| Eroare după n încercări greșite | N/A | Blochează după 10 încercări | Blochează după 10 | OWASP Auth Cheat Sheet: blocare temporară |
| Notificare expirare parolă | Activă | Activă | Activă | ISO 27001 A.9.4.3: notificare/rotire parole |
💡 Notă: Sunt unele practici care spun că se poate renunța la expirarea parolelor dacă se folosește autentificare multifactorială (MFA sau 2FA). Recomandarea mea e să existe o politică de rotire periodică a parolelor chiar și atunci când sunt prezenți mai mulți factori de autentificare. Cu cât o parolă este mai veche, cu atât crește riscul ca aceasta să fie compromisă.
📌 Observații importante la referințele din tabel:
- NIST: este standardul cel mai modern, orientat spre eficiență și ușurință de utilizare. Descurajează reguli rigide, dar impune verificarea calității parolei.
- ISO/IEC 27001: încă susține cerințe clasice, în contextul sistemelor mai vechi sau din medii foarte reglementate.
- OWASP: foarte aplicabil pentru aplicații web – oferă ghiduri clare pentru dezvoltatori și administratori.
Greșeli frecvente în politicile de parole
- Folosirea exclusivă a regulilor de complexitate – Un „P@rola123” e slabă chiar dacă bifează toate căsuțele.
- Expirarea prea frecventă a parolelor – Duce la reciclare predictibilă (ex: parola1 → parola2).
- Aceeași politică pentru toți utilizatorii – Un developer DevOps nu are același risc ca un utilizator HR.
- Lipsa notificărilor proactive – Fără notificări înainte de expirare, parolele se schimbă haotic sau în ultima secundă.
- Nu se verifică parolele împotriva unui blacklist – Parolele „12345678” sau „qwertyui” sunt încă folosite în 2025.
Concluzie
O politică bună de parole nu înseamnă complicarea vieții utilizatorilor, ci prevenirea accesului neautorizat într-un mod inteligent și proporțional cu riscul pentru fiecare rol. În 2025, cel mai slab punct din infrastructură nu este neapărat o vulnerabilitate critică de ultim moment sau un firewall, ci parola lui „ion.popescu@firma.ro”.
Resurse utile
