Retningslinjer for passord for NIST

National Institute of Standards and Technology (NIST) definerer sikkerhetsparametere for offentlige institusjoner. NIST hjelper organisasjoner med konsistente administrative nødvendigheter. De siste årene har NIST revidert retningslinjene for passord. ATO-angrep (Account Takeover) har blitt en givende virksomhet for nettkriminelle. Et av medlemmene i toppledelsen i NIST ga uttrykk for sine synspunkter om tradisjonelle retningslinjer, i et intervju "å produsere passord som er enkle å gjette for skurkene er vanskelig å gjette for legitime brukere.”(Https: // spycloud.com / new-nist-guidelines). Dette innebærer at kunsten å plukke de sikreste passordene involverer en rekke menneskelige og psykologiske faktorer. NIST har utviklet Cybersecurity Framework (CSF) for å håndtere og overvinne sikkerhetsrisiko mer effektivt.

NIST Cybersecurity Framework

Også kjent som "Kritisk infrastruktur cybersikkerhet", presenterer nettverksrammeverket for NIST en bred ordning med regler som spesifiserer hvordan organisasjoner kan holde nettkriminelle under kontroll. CSF for NIST består av tre hovedkomponenter:

• Kjerne: Leder organisasjoner til å håndtere og redusere cybersikkerhetsrisikoen.
• Implementeringsnivå: Hjelper organisasjoner ved å gi informasjon om organisasjonens perspektiv på risikostyring av cybersikkerhet.
• Profil: Organisasjonens unike struktur med krav, mål og ressurser.

Anbefalinger

Følgende inkluderer forslag og anbefalinger fra NIST i den nylige revisjonen av passordretningslinjer.

• Tegn Lengde: Organisasjoner kan velge et passord på minst 8 tegn, men det anbefales sterkt av NIST å angi et passord på maksimalt 64 tegn.
• Forebygge uautorisert tilgang: I tilfelle en uautorisert person har prøvd å logge på kontoen din, anbefales det å revidere passordet i tilfelle et forsøk på å stjele passordet.
• Kompromittert: Når små organisasjoner eller enkle brukere støter på et stjålet passord, endrer de vanligvis passordet og glemmer hva som skjedde. NIST foreslår å liste opp alle passordene som blir stjålet for nåværende og fremtidig bruk.
• Tips: Ignorer tips og sikkerhetsspørsmål når du velger passord.
• Autentiseringsforsøk: NIST anbefaler på det sterkeste å begrense antall godkjenningsforsøk i tilfelle feil. Antall forsøk er begrenset, og det ville være umulig for hackere å prøve flere kombinasjoner av passord for pålogging.
• Kopiere og lime inn: NIST anbefaler å bruke limfasiliteter i passordfeltet for å gjøre det enkelt for ledere. I motsetning til det, i tidligere retningslinjer, ble ikke dette limanlegget anbefalt. Passordadministratorer bruker denne limfasiliteten når det gjelder å bruke et enkelt hovedpassord for å få inn tilgjengelige passord.
• Sammensetningsregler: Sammensetning av tegn kan føre til misnøye av sluttbrukeren, så det anbefales å hoppe over denne komposisjonen. NIST konkluderte med at brukeren vanligvis viser manglende interesse for å sette opp et passord med komposisjon av tegn, noe som resulterer i at passordet svekkes. Hvis brukeren for eksempel setter passordet sitt som 'tidslinje', godtar ikke systemet det og ber brukeren bruke en kombinasjon av store og små bokstaver. Etter det må brukeren endre passordet ved å følge reglene for sammensetningen som er satt i systemet. Derfor foreslår NIST å utelukke dette kravet om sammensetning, ettersom organisasjoner kan møte en ugunstig effekt på sikkerheten.
• Bruk av tegn: Vanligvis avvises passord som inneholder mellomrom fordi plass telles, og brukeren glemmer mellomromstegnene, noe som gjør passordet vanskelig å huske. NIST anbefaler å bruke hvilken kombinasjon brukeren ønsker, som lettere kan huskes og tilbakekalles når det er nødvendig.
• Passordendring: Hyppige endringer i passord anbefales for det meste i organisatoriske sikkerhetsprotokoller eller for alle slags passord. De fleste brukere velger et enkelt og minneverdig passord som skal endres i nær fremtid for å følge sikkerhetsretningslinjene til organisasjoner. NIST anbefaler å ikke endre passordet ofte og velge et passord som er komplekst nok til at det kan kjøres lenge for å tilfredsstille brukeren og sikkerhetskravene.

Hva om passordet er kompromittert?

Hackers favorittjobb er å bryte sikkerhetsbarrierer. For det formålet jobber de for å oppdage innovative muligheter å passere gjennom. Sikkerhetsbrudd har utallige kombinasjoner av brukernavn og passord for å bryte sikkerhetsbarrieren. De fleste organisasjoner har også en liste over passord som er tilgjengelige for hackere, så de blokkerer ethvert passordvalg fra poolen med passordlister, som også er tilgjengelig for hackere. Med tanke på den samme bekymringen, hvis noen organisasjoner ikke får tilgang til passordlisten, har NIST gitt noen retningslinjer som en passordliste kan inneholde:

• En liste over passordene som har blitt brutt tidligere.
• Enkle ord valgt fra ordboken (e.g., 'inneholder, "akseptert,' osv.)
• Passordtegn som inneholder repetisjon, serie eller en enkel serie (f.eks.g. 'cccc, "abcdef,' eller 'a1b2c3').

Hvorfor følge retningslinjene for NIST?

Retningslinjene fra NIST holder oversikt over de viktigste sikkerhetstruslene knyttet til passordhacks for mange forskjellige typer organisasjoner. Det gode er at hvis de observerer brudd på sikkerhetsbarrieren forårsaket av hackere, kan NIST revidere retningslinjene for passord, slik de har gjort siden 2017. På den annen side andre sikkerhetsstandarder (f.eks.g., HITRUST, HIPAA, PCI) ikke oppdater eller revidere de grunnleggende innledende retningslinjene de har gitt.