Wytyczne hasła NIST

Narodowy Instytut Standardów i Technologii (NIST) definiuje parametry bezpieczeństwa dla instytucji rządowych. NIST pomaga organizacjom w konsekwentnych potrzebach administracyjnych. W ostatnich latach NIST zmienił wytyczne hasła. Ataki przejęcia konta (ATO) stały się satysfakcjonującym biznesem dla cyberprzestępców. Jeden z członków najwyższego kierownictwa NIST wyraził swoje poglądy na temat tradycyjnych wytycznych, w wywiadzie „Produkowanie haseł, które łatwo zgadywać dla złych, trudno zgadywać dla legalnych użytkowników.”(Https: // spycloud.Com/New-Nist-Guidelines). Oznacza to, że sztuka wybierania najbezpieczniejszych haseł obejmuje wiele czynników ludzkich i psychologicznych. NIST opracował ramy bezpieczeństwa cyber.

NIST Cyberbezpieczeństwo

Znane również jako „krytyczna cyberbezpieczeństwo infrastruktury”, ramy bezpieczeństwa cyber. CSF NIST obejmuje trzy główne elementy:

• Rdzeń: Prowadzi organizacje do zarządzania i zmniejszającym ryzyko bezpieczeństwa cybernetycznego.
• Wiersz wdrożenia: Pomaga organizacjom, dostarczając informacje dotyczące perspektywy organizacji na temat zarządzania ryzykiem bezpieczeństwa cybernetycznego.
• Profil: Unikalna struktura jej wymagań, celów i zasobów organizacji.

Zalecenia

Poniżej zawierają sugestie i zalecenia dostarczone przez NIST w ich niedawnej zmianie wytycznych haseł.

• Długość postaci: Organizacje mogą wybrać hasło o minimalnej długości znaku 8, ale NIST zaleca się ustawienie hasła do maksymalnie 64-znaków.
• Zapobieganie nieautoryzowanemu dostępowi: W przypadku, gdy osoba nieautoryzowana próbowała zalogować się na twoje konto, zaleca się zmianę hasła w przypadku próby kradzieży hasła.
• Zagrożony: Kiedy małe organizacje lub proste użytkownicy napotykają skradzione hasło, zwykle zmieniają hasło i zapominają o tym, co się stało. NIST sugeruje, aby wymienić wszystkie te hasła, które zostały skradzione do obecnego i przyszłego użytku.
• Poradnik: Zignoruj ​​wskazówki i pytania bezpieczeństwa przy wyborze haseł.
• Próby uwierzytelnienia: NIST zdecydowanie zaleca ograniczenie liczby prób uwierzytelnienia w przypadku awarii. Liczba prób jest ograniczona i hakerzy nie byłoby możliwe wypróbowanie wielu kombinacji haseł do logowania.
• Kopiuj i wklej: NIST zaleca korzystanie z urządzeń do wklejania w polu hasła w celu ułatwienia menedżerów. W przeciwieństwie do tego, w poprzednich wytycznych, ten obiekt pasty nie był zalecany. Menedżerowie haseł używają tego zakładu wklejania, jeśli chodzi o użycie jednego hasła głównego do wnikania dostępnych haseł.
• Zasady kompozycji: Skład znaków może spowodować niezadowolenie przez użytkownika końcowego, dlatego zaleca się pominięcie tej kompozycji. NIST doszedł do wniosku, że użytkownik zwykle wykazuje brak zainteresowania konfiguracją hasła z składem znaków, które w rezultacie osłabia hasło. Na przykład, jeśli użytkownik ustawia hasło jako „harmonogram”, system nie akceptuje go i prosi użytkownika o użycie kombinacji znaków wielkimi i małymi literami. Następnie użytkownik musi zmienić hasło, przestrzegając reguł zestawu komponowania w systemie. Dlatego NIST sugeruje wykluczenie tego wymogu składu, ponieważ organizacje mogą napotkać niekorzystny wpływ na bezpieczeństwo.
• Używanie znaków: Zwykle hasła zawierające przestrzenie są odrzucane, ponieważ liczba przestrzeni jest liczona, a użytkownik zapomina o znakach przestrzennych, co utrudnia zapamiętywanie hasła. NIST zaleca użycie dowolnej kombinacji, jakiej chce użytkownik, które można łatwiej zapamiętać i odwołać w razie potrzeby.
• Zmiana hasła: Częste zmiany w hasłach są głównie zalecane w protokole bezpieczeństwa organizacyjnego lub dla każdego rodzaju hasła. Większość użytkowników wybiera łatwe i pamiętne hasło do zmiany w najbliższej przyszłości, aby przestrzegać wytycznych bezpieczeństwa organizacji. NIST zaleca, aby nie zmieniać hasła często i wybierać hasło, które jest wystarczająco złożone.

Co jeśli hasło jest zagrożone?

Ulubionym zadaniem hakerów jest naruszenie barier bezpieczeństwa. W tym celu pracują nad odkryciem innowacyjnych możliwości przejścia. Naruszenia bezpieczeństwa mają niezliczone kombinacje nazw użytkowników i haseł, aby przełamać każdą barierę bezpieczeństwa. Większość organizacji ma również listę haseł dostępnych dla hakerów, więc blokują każdy wybór hasła z puli list haseł, który jest również dostępny dla hakerów. Uważając na ten sam problem, jeśli jakakolwiek organizacja nie jest w stanie uzyskać dostępu do listy haseł, NIST podał pewne wytyczne, które może zawierać lista haseł:

• Lista tych haseł, które zostały wcześniej naruszone.
• Proste słowa wybrane ze słownika (e.G., „zawierają”, zaakceptowane ”itp.)
• Znaki hasła zawierające powtórzenie, serię lub prosta seria (e.G. „cccc,„ abcdef ”lub„ a1b2c3 ”).

Po co postępować zgodnie z wytycznymi NIST?

Wytyczne dostarczone przez NIST utrzymują główne zagrożenia bezpieczeństwa związane z hackami haseł dla wielu różnych rodzajów organizacji. Dobrą rzeczą jest to, że jeśli zaobserwują jakiekolwiek naruszenie bariery bezpieczeństwa spowodowanego przez hakerów, NIST może zmienić swoje wytyczne dotyczące haseł, tak jak to robią od 2017 roku. Z drugiej strony inne standardy bezpieczeństwa (e.G., Hitrust, HIPAA, PCI) nie aktualizują ani nie zmieniają podstawowych początkowych wytycznych.