NIST kiberbiztonsági keretrendszer
A „Kritikus infrastruktúra kiberbiztonsága” néven is ismert, a NIST kiberbiztonsági keretrendszere széles szabályrendszert mutat be, amely meghatározza, hogy a szervezetek hogyan tudják kordában tartani a kiberbűnözőket. A NIST CSF három fő összetevőből áll:
- Mag: Vezeti a szervezeteket a kiberbiztonsági kockázat kezelésére és csökkentésére.
- Megvalósítási szint: Segít a szervezeteknek azáltal, hogy információt nyújt a szervezet kiberbiztonsági kockázatkezelésével kapcsolatos perspektívájáról.
- Profil: A szervezet követelményeinek, célkitűzéseinek és erőforrásainak egyedi felépítése.
Ajánlások
Az alábbiakban a NIST által a jelszavakkal kapcsolatos irányelvek legutóbbi felülvizsgálata során tett javaslatokat és javaslatokat tartalmazunk.
- Karakterek hossza: A szervezetek választhatnak legalább 8 karakter hosszúságú jelszót, de a NIST erősen javasolja, hogy állítson be legfeljebb 64 karakteres jelszót.
- Az illetéktelen hozzáférés megakadályozása: Abban az esetben, ha illetéktelen személy próbált bejelentkezni az Ön fiókjába, a jelszó ellopási kísérlete esetén javasoljuk a jelszó felülvizsgálatát.
- Veszélyeztetett: Amikor a kis szervezetek vagy az egyszerű felhasználók találkoznak egy ellopott jelszóval, általában megváltoztatják a jelszót, és elfelejtik a történteket. A NIST azt javasolja, hogy sorolja fel azokat a jelszavakat, amelyeket ellopnak a jelenlegi és a jövőbeni felhasználásra.
- Tippek: Hagyja figyelmen kívül a tippeket és a biztonsági kérdéseket a jelszavak kiválasztása közben.
- Hitelesítési kísérletek: A NIST nyomatékosan javasolja a hitelesítési kísérletek számának korlátozását hiba esetén. A próbálkozások száma korlátozott, és a hackerek számára lehetetlen lenne a jelszavak több kombinációját kipróbálni a bejelentkezéshez.
- Másolás és beillesztés: A NIST azt javasolja, hogy a menedzserek megkönnyítése érdekében használja a beillesztési lehetőségeket a jelszó mezőben. Ezzel ellentétben a korábbi irányelvekben ez a paszta lehetőség nem volt ajánlott. A jelszókezelők ezt a beillesztési lehetőséget használják, amikor egyetlen fő jelszót kell használniuk az elérhető jelszavak behatolásához.
- Összetétel szabályai: A karakterek összetétele a végfelhasználó elégedetlenségéhez vezethet, ezért ajánlott ezt az összetételt kihagyni. A NIST arra a következtetésre jutott, hogy a felhasználó általában nem érdeklődik a karakterekből álló jelszó beállítása iránt, ami gyengíti jelszavát. Például, ha a felhasználó jelszavát „idővonalnak” állítja be, a rendszer nem fogadja el, és arra kéri a felhasználót, hogy használjon nagy- és kisbetűs karaktereket. Ezt követően a felhasználónak meg kell változtatnia a jelszót a rendszerben beállított összetétel szabályainak betartásával. Ezért a NIST javasolja az összetétel ezen követelményének kizárását, mivel a szervezeteknek kedvezőtlen hatása lehet a biztonságra.
- Karakterek használata: Általában a szóközöket tartalmazó jelszavakat elutasítják, mert a szóköz beszámításra kerül, és a felhasználó elfelejti a szóköz karaktereit, így a jelszó nehezen megjegyezhető. A NIST azt ajánlja, hogy a felhasználó bármilyen kombinációt használjon, amely könnyebben megjegyezhető és bármikor előhívható.
- Jelszó változtatás: A jelszavak gyakori megváltoztatása többnyire a szervezeti biztonsági protokollokban vagy bármilyen jelszó esetén ajánlott. A legtöbb felhasználó egy egyszerű és emlékezetes jelszót választ, amelyet a közeljövőben meg kell változtatni, hogy megfeleljen a szervezetek biztonsági irányelveinek. A NIST azt javasolja, hogy ne változtassa meg gyakran a jelszót, és válasszon olyan összetett jelszót, amely hosszú ideig futtatható a felhasználó és a biztonsági követelmények kielégítése érdekében.
Mi van, ha a jelszó megsérült?
A hackerek kedvenc feladata a biztonsági korlátok megszegése. Ebből a célból azon dolgoznak, hogy innovatív lehetőségeket fedezzenek át. A Biztonsági Megsértések számtalan felhasználói név és jelszó kombinációt tartalmaznak a biztonsági korlátok felszámolására. A legtöbb szervezet rendelkezik a hackerek által elérhető jelszavak listájával is, ezért blokkolnak minden jelszóválasztást a jelszólisták készletéből, amely a hackerek számára is elérhető. Ugyanezt az aggodalmat szem előtt tartva, ha bármely szervezet nem tud hozzáférni a jelszólistához, a NIST néhány irányelvet nyújtott be, amelyeket a jelszólista tartalmazhat:
- A korábban megsértett jelszavak listája.
- A szótárból kiválasztott egyszerű szavak (pl.g., 'tartalmazza, "elfogadott" stb.)
- Jelszó karakterek, amelyek ismétlést, sorozatot vagy egyszerű sorozatot tartalmaznak (pl.g. (cccc, "abcdef" vagy "a1b2c3").
Miért kell követni a NIST irányelveket?
A NIST által biztosított irányelvek sokféle szervezet számára szem előtt tartják a jelszó feltörésével kapcsolatos főbb biztonsági fenyegetéseket. A jó dolog az, hogy ha a hackerek által okozott bármilyen biztonsági megsértést észlelnek, a NIST módosíthatja a jelszavakra vonatkozó irányelveit, ahogyan 2017 óta teszik. Másrészt más biztonsági előírások (pl.g., A HITRUST, HIPAA, PCI) nem frissítik vagy módosítják az általuk nyújtott alapvető kezdeti irányelveket.