NIST Passordretningslinjer

National Institute of Standards and Technology (NIST) definerer sikkerhetsparametere for offentlige institusjoner. NIST hjelper organisasjoner for konsistente administrative nødvendigheter. De siste årene har NIST revidert retningslinjene for passord. Angrep om kontoovertakelse (ATO) har blitt en givende virksomhet for nettkriminelle. Et av medlemmene i toppledelsen av NIST uttrykte hans synspunkter om tradisjonelle retningslinjer, i et intervju “Å produsere passord som er enkle å gjette for skurkene er vanskelig å gjette for legitime brukere.”(Https: // spycloud.com/new-nist-retningslinjer). Dette innebærer at kunsten å velge de sikreste passordene involverer en rekke menneskelige og psykologiske faktorer. NIST har utviklet Cybersecurity Framework (CSF) for å administrere og overvinne sikkerhetsrisiko mer effektivt.

NIST Cybersecurity Framework

Også kjent som "kritisk infrastruktur cybersecurity", gir cybersecurity rammeverket til NIST et bredt arrangement av regler som spesifiserer hvordan organisasjoner kan holde nettkriminelle under kontroll. CSF av NIST består av tre hovedkomponenter:

• Kjerne: Fører organisasjoner til å administrere og redusere sin cybersikkerhetsrisiko.
• Implementeringsnivå: Hjelper organisasjoner ved å gi informasjon om organisasjonens perspektiv på risikostyring av cybersikkerhet.
• Profil: Organisasjonens unike struktur av kravene, målene og ressursene.

Anbefalinger

Følgende inkluderer forslag og anbefalinger gitt av NIST i deres nylige revisjon av retningslinjene for passord.

• Tegn lengde: Organisasjoner kan velge et passord med en minimumskarakterlengde på 8, men det anbefales høyt av NIST å angi et passord på opptil maksimalt 64-karakterer.
• Forebygging av uautorisert tilgang: I tilfelle at en uautorisert person har prøvd å logge inn på kontoen din, anbefales det å revidere passordet i tilfelle et forsøk på å stjele passordet.
• Kompromittert: Når små organisasjoner eller enkle brukere møter et stjålet passord, endrer de vanligvis passordet og glemmer hva som skjedde. NIST foreslår å liste opp alle passordene som er stjålet for nåværende og fremtidig bruk.
• Tips: Ignorer hint og sikkerhetsspørsmål mens du velger passord.
• Autentiseringsforsøk: NIST anbefaler på det sterkeste å begrense antall autentiseringsforsøk i tilfelle feil. Antall forsøk er begrenset, og det ville være umulig for hackere å prøve flere kombinasjoner av passord for pålogging.
• Kopiere og lime inn: NIST anbefaler å bruke pastafasiliteter i passordfeltet for enkel ledere. I motsetning til det, i tidligere retningslinjer, ble dette pastaanlegget ikke anbefalt. Passordadministratorer bruker dette limeanlegget når det gjelder å bruke et enkelt hovedpassord for å inngå tilgjengelige passord.
• Sammensetningsregler: Sammensetning av karakterer kan føre til misnøye av sluttbrukeren, så det anbefales å hoppe over denne komposisjonen. NIST konkluderte med at brukeren vanligvis viser mangel på interesse for å sette opp et passord med sammensetning av tegn, noe som resulterende svekker passordet. For eksempel, hvis brukeren angir passordet sitt som 'tidslinje', godtar ikke systemet det og ber brukeren bruke en kombinasjon av store og små bokstaver. Etter det må brukeren endre passordet ved å følge reglene for komposisjonssettet i systemet. Derfor antyder NIST å utelukke dette kravet om sammensetning, ettersom organisasjoner kan møte en ugunstig effekt på sikkerheten.
• Bruk av tegn: Vanligvis avvises passord som inneholder mellomrom fordi plass telles, og brukeren glemmer romkarakteren (e), noe som gjør passordet vanskelig å huske. NIST anbefaler å bruke hvilken kombinasjon brukeren ønsker, som lettere kan huskes og tilbakekalles når det er nødvendig.
• Passordendring: Hyppige endringer i passord anbefales for det meste i organisatoriske sikkerhetsprotokoller eller for noen form for passord. De fleste brukere velger et enkelt og memoiserbart passord som skal endres i løpet av en nær fremtid for å følge organisasjonens sikkerhetsretningslinjer. NIST anbefaler å ikke endre passordet ofte og velge et passord som er sammensatt nok slik at det kan kjøres i lang tid for å tilfredsstille brukeren og sikkerhetskravene.

Hva om passordet er kompromittert?

Hackers favorittjobb er å bryte sikkerhetsbarrierer. For det formålet jobber de for å oppdage innovative muligheter for å passere gjennom. Sikkerhetsbrudd har utallige kombinasjoner av brukernavn og passord for å bryte enhver sikkerhetsbarriere. De fleste organisasjoner har også en liste over passord som. Når du har sett den samme bekymringen, hvis noen organisasjon ikke er i stand til å få tilgang til passordlisten, har NIST gitt noen retningslinjer som en passordliste kan inneholde:

• En liste over passordene som har blitt brutt tidligere.
• Enkle ord valgt fra ordboken (e.g., 'Inneholder,' akseptert, 'osv.)
• Passordtegn som inneholder repetisjon, serier eller en enkel serie (e.g. 'CCCC,' ABCDEF, 'eller' A1B2C3 ').

Hvorfor følge NIST -retningslinjene?

Retningslinjene gitt av NIST Keep Se på de viktigste sikkerhetstruslene relatert til passordhakk for mange forskjellige typer organisasjoner. Det gode er at hvis de observerer noe brudd på sikkerhetsbarrieren forårsaket av hackere, kan NIST revidere retningslinjene sine for passord, slik de har gjort siden 2017. På den annen side andre sikkerhetsstandarder (e.g., Hitrust, HIPAA, PCI) oppdaterer eller reviderer ikke de grunnleggende innledende retningslinjene som de har gitt.