NIST jelszó irányelvek

Az Országos Szabványügyi és Technológiai Intézet (NIST) meghatározza a kormányzati intézmények biztonsági paramétereit. A NIST segíti a szervezeteket az állandó adminisztratív szükségletek kielégítésében. Az elmúlt években a NIST felülvizsgálta a jelszóra vonatkozó irányelveket. A számlaátvételi (ATO) támadások kifizetődő üzleti tevékenységgé váltak a kiberbűnözők számára. A NIST felső vezetésének egyik tagja kifejtette véleményét a hagyományos irányelvekről, egy interjúban „olyan jelszavakat állítottak elő, amelyeket könnyű kitalálni a rossz fiúk számára, nehéz kitalálni a törvényes felhasználók számára.”(Https: // spycloud.com / new-nist-irányelvek). Ez azt jelenti, hogy a legbiztonságosabb jelszavak kiválasztásának művészete számos emberi és pszichológiai tényezőt érint. A NIST kifejlesztette a kiberbiztonsági keretrendszert (CSF) a biztonsági kockázatok hatékonyabb kezelése és leküzdése érdekében.

NIST kiberbiztonsági keretrendszer

A „Kritikus infrastruktúra kiberbiztonsága” néven is ismert, a NIST kiberbiztonsági keretrendszere széles szabályrendszert mutat be, amely meghatározza, hogy a szervezetek hogyan tudják kordában tartani a kiberbűnözőket. A NIST CSF három fő összetevőből áll:

• Mag: Vezeti a szervezeteket a kiberbiztonsági kockázat kezelésére és csökkentésére.
• Megvalósítási szint: Segít a szervezeteknek azáltal, hogy információt nyújt a szervezet kiberbiztonsági kockázatkezelésével kapcsolatos perspektívájáról.
• Profil: A szervezet követelményeinek, célkitűzéseinek és erőforrásainak egyedi felépítése.

Ajánlások

Az alábbiakban a NIST által a jelszavakkal kapcsolatos irányelvek legutóbbi felülvizsgálata során tett javaslatokat és javaslatokat tartalmazunk.

• Karakterek hossza: A szervezetek választhatnak legalább 8 karakter hosszúságú jelszót, de a NIST erősen javasolja, hogy állítson be legfeljebb 64 karakteres jelszót.
• Az illetéktelen hozzáférés megakadályozása: Abban az esetben, ha illetéktelen személy próbált bejelentkezni az Ön fiókjába, a jelszó ellopási kísérlete esetén javasoljuk a jelszó felülvizsgálatát.
• Veszélyeztetett: Amikor a kis szervezetek vagy az egyszerű felhasználók találkoznak egy ellopott jelszóval, általában megváltoztatják a jelszót, és elfelejtik a történteket. A NIST azt javasolja, hogy sorolja fel azokat a jelszavakat, amelyeket ellopnak a jelenlegi és a jövőbeni felhasználásra.
• Tippek: Hagyja figyelmen kívül a tippeket és a biztonsági kérdéseket a jelszavak kiválasztása közben.
• Hitelesítési kísérletek: A NIST nyomatékosan javasolja a hitelesítési kísérletek számának korlátozását hiba esetén. A próbálkozások száma korlátozott, és a hackerek számára lehetetlen lenne a jelszavak több kombinációját kipróbálni a bejelentkezéshez.
• Másolás és beillesztés: A NIST azt javasolja, hogy a menedzserek megkönnyítése érdekében használja a beillesztési lehetőségeket a jelszó mezőben. Ezzel ellentétben a korábbi irányelvekben ez a paszta lehetőség nem volt ajánlott. A jelszókezelők ezt a beillesztési lehetőséget használják, amikor egyetlen fő jelszót kell használniuk az elérhető jelszavak behatolásához.
• Összetétel szabályai: A karakterek összetétele a végfelhasználó elégedetlenségéhez vezethet, ezért ajánlott ezt az összetételt kihagyni. A NIST arra a következtetésre jutott, hogy a felhasználó általában nem érdeklődik a karakterekből álló jelszó beállítása iránt, ami gyengíti jelszavát. Például, ha a felhasználó jelszavát „idővonalnak” állítja be, a rendszer nem fogadja el, és arra kéri a felhasználót, hogy használjon nagy- és kisbetűs karaktereket. Ezt követően a felhasználónak meg kell változtatnia a jelszót a rendszerben beállított összetétel szabályainak betartásával. Ezért a NIST javasolja az összetétel ezen követelményének kizárását, mivel a szervezeteknek kedvezőtlen hatása lehet a biztonságra.
• Karakterek használata: Általában a szóközöket tartalmazó jelszavakat elutasítják, mert a szóköz beszámításra kerül, és a felhasználó elfelejti a szóköz karaktereit, így a jelszó nehezen megjegyezhető. A NIST azt ajánlja, hogy a felhasználó bármilyen kombinációt használjon, amely könnyebben megjegyezhető és bármikor előhívható.
• Jelszó változtatás: A jelszavak gyakori megváltoztatása többnyire a szervezeti biztonsági protokollokban vagy bármilyen jelszó esetén ajánlott. A legtöbb felhasználó egy egyszerű és emlékezetes jelszót választ, amelyet a közeljövőben meg kell változtatni, hogy megfeleljen a szervezetek biztonsági irányelveinek. A NIST azt javasolja, hogy ne változtassa meg gyakran a jelszót, és válasszon olyan összetett jelszót, amely hosszú ideig futtatható a felhasználó és a biztonsági követelmények kielégítése érdekében.

Mi van, ha a jelszó megsérült?

A hackerek kedvenc feladata a biztonsági korlátok megszegése. Ebből a célból azon dolgoznak, hogy innovatív lehetőségeket fedezzenek át. A Biztonsági Megsértések számtalan felhasználói név és jelszó kombinációt tartalmaznak a biztonsági korlátok felszámolására. A legtöbb szervezet rendelkezik a hackerek által elérhető jelszavak listájával is, ezért blokkolnak minden jelszóválasztást a jelszólisták készletéből, amely a hackerek számára is elérhető. Ugyanezt az aggodalmat szem előtt tartva, ha bármely szervezet nem tud hozzáférni a jelszólistához, a NIST néhány irányelvet nyújtott be, amelyeket a jelszólista tartalmazhat:

• A korábban megsértett jelszavak listája.
• A szótárból kiválasztott egyszerű szavak (pl.g., 'tartalmazza, "elfogadott" stb.)
• Jelszó karakterek, amelyek ismétlést, sorozatot vagy egyszerű sorozatot tartalmaznak (pl.g. (cccc, "abcdef" vagy "a1b2c3").

Miért kell követni a NIST irányelveket?

A NIST által biztosított irányelvek sokféle szervezet számára szem előtt tartják a jelszó feltörésével kapcsolatos főbb biztonsági fenyegetéseket. A jó dolog az, hogy ha a hackerek által okozott bármilyen biztonsági megsértést észlelnek, a NIST módosíthatja a jelszavakra vonatkozó irányelveit, ahogyan 2017 óta teszik. Másrészt más biztonsági előírások (pl.g., A HITRUST, HIPAA, PCI) nem frissítik vagy módosítják az általuk nyújtott alapvető kezdeti irányelveket.