NIST slaptažodžio gairės

Nacionalinis standartų ir technologijų institutas (NIST) nustato vyriausybės institucijų saugumo parametrus. NIST padeda organizacijoms tęsti administracines būtinybes. Pastaraisiais metais NIST peržiūrėjo slaptažodžių gaires. Sąskaitų perėmimo (ATO) atakos kibernetiniams nusikaltėliams tapo naudingu verslu. Vienas iš aukščiausių NIST vadovų narių išsakė savo nuomonę apie tradicines gaires, interviu „gaminti slaptažodžius, kuriuos lengva atspėti blogiems vyrams, sunku atspėti teisėtiems vartotojams.“(Https: // spycloud.com / new-nist-Guidelines). Tai reiškia, kad saugiausių slaptažodžių rinkimo menas apima daugybę žmogiškų ir psichologinių veiksnių. NIST sukūrė kibernetinio saugumo sistemą (CSF), kad būtų galima efektyviau valdyti ir įveikti saugumo riziką.

NIST kibernetinio saugumo sistema

Taip pat žinomas kaip „Kritinės infrastruktūros kibernetinis saugumas“. NIST kibernetinio saugumo sistema pateikia platų taisyklių išdėstymą, nurodantį, kaip organizacijos gali kontroliuoti kibernetinius nusikaltėlius. NIST CSF sudaro trys pagrindiniai komponentai:

• Šerdis: Verčia organizacijas valdyti ir sumažinti savo kibernetinio saugumo riziką.
• Įgyvendinimo pakopa: Padeda organizacijoms teikdama informaciją apie organizacijos perspektyvą kibernetinio saugumo rizikos valdymo srityje.
• Profilis: Organizacijos unikali reikalavimų, tikslų ir išteklių struktūra.

Rekomendacijos

Toliau pateikiami NIST pasiūlymai ir rekomendacijos neseniai peržiūrėjus slaptažodžių gaires.

• Simbolių ilgis: Organizacijos gali pasirinkti mažiausiai 8 simbolių ilgio slaptažodį, tačiau NIST labai rekomenduoja nustatyti ne daugiau kaip 64 simbolių slaptažodį.
• Užkirsti kelią neteisėtai prieigai: Jei prie jūsų paskyros bandė prisijungti pašalinis asmuo, rekomenduojama pakeisti slaptažodį, jei bandoma pavogti slaptažodį.
• Sugadinta: Kai mažos organizacijos ar paprasti vartotojai susiduria su pavogtu slaptažodžiu, jie dažniausiai pakeičia slaptažodį ir pamiršta, kas nutiko. NIST siūlo išvardyti visus tuos slaptažodžius, kurie yra pavogti naudoti dabar ir ateityje.
• Patarimai: Nepaisykite patarimų ir saugumo klausimų rinkdamiesi slaptažodžius.
• Autentifikavimo bandymai: NIST primygtinai rekomenduoja apriboti bandymų autentifikuoti skaičių nesėkmės atveju. Bandymų skaičius yra ribotas, o įsilaužėliams būtų neįmanoma išbandyti kelis slaptažodžių derinius prisijungiant.
• Kopijuoti ir įklijuoti: NIST rekomenduoja slaptažodžių lauke naudoti įklijavimo galimybes, kad būtų lengviau valdytojams. Priešingai, ankstesnėse gairėse ši pastos priemonė nebuvo rekomenduojama. Slaptažodžių tvarkytojai naudoja šią įklijavimo galimybę, kai reikia naudoti vieną pagrindinį slaptažodį, kad būtų galima įvesti galimus slaptažodžius.
• Kompozicijos taisyklės: Simbolių sudarymas gali sukelti galutinio vartotojo nepasitenkinimą, todėl rekomenduojama praleisti šią kompoziciją. NIST padarė išvadą, kad vartotojas paprastai nesidomi nustatydamas slaptažodį su simbolių sudėtimi, o tai silpnina jų slaptažodį. Pvz., Jei vartotojas nustato savo slaptažodį kaip „laiko juostą“, sistema jo nepriima ir prašo vartotojo naudoti didžiųjų ir mažųjų raidžių kombinaciją. Po to vartotojas turi pakeisti slaptažodį, laikydamasis sistemoje nustatytų komponavimo taisyklių. Todėl NIST siūlo atmesti šį sudėties reikalavimą, nes organizacijos gali susidurti su nepalankiu poveikiu saugumui.
• Simbolių naudojimas: Paprastai slaptažodžiai, kuriuose yra tarpų, atmetami, nes skaičiuojama erdvė, o vartotojas pamiršta tarpo simbolį (-ius), todėl slaptažodį sunku įsiminti. NIST rekomenduoja naudoti bet kokį naudotojo pageidaujamą derinį, kurį prireikus lengviau įsiminti ir prisiminti.
• Slaptažodžio keitimas: Dažni slaptažodžių pakeitimai dažniausiai rekomenduojami organizacijos saugos protokoluose arba bet kokio tipo slaptažodžiams. Daugelis vartotojų, norėdami laikytis organizacijų saugumo gairių, pasirenka lengvai ir atmintinai įsimenamą slaptažodį, kurį artimiausiu metu reikės pakeisti. NIST rekomenduoja dažnai nekeisti slaptažodžio ir pasirinkti pakankamai sudėtingą slaptažodį, kad jį būtų galima paleisti ilgą laiką, siekiant patenkinti vartotojo ir saugumo reikalavimus.

Ką daryti, jei slaptažodis yra pažeistas?

Mėgstamiausias įsilaužėlių darbas yra pažeisti saugumo barjerus. Tuo tikslu jie stengiasi atrasti novatoriškas galimybes praeiti. Saugumo pažeidimai turi daugybę vartotojo vardų ir slaptažodžių derinių, kad būtų panaikinta bet kokia saugos kliūtis. Daugelis organizacijų taip pat turi įsilaužėliams prieinamų slaptažodžių sąrašą, todėl jie blokuoja bet kokį slaptažodžio pasirinkimą iš slaptažodžių sąrašų grupės, kuri taip pat prieinama įsilaužėliams. Atsižvelgdamas į tą patį susirūpinimą, jei kuri nors organizacija negali pasiekti slaptažodžių sąrašo, NIST pateikė keletą rekomendacijų, kurias slaptažodžių sąraše gali būti:

• Anksčiau pažeistų slaptažodžių sąrašas.
• Paprasti žodžiai, pasirinkti iš žodyno (pvz.,.g., "yra", "priimta" ir kt.)
• Slaptažodžio simboliai, kuriuose yra pasikartojimas, serijos ar paprasta serija (pvz.,.g. „cccc“, „abcdef“ arba „a1b2c3“).

Kodėl reikia laikytis NIST gairių?

NIST pateiktose gairėse atsižvelgiama į pagrindines saugumo grėsmes, susijusias su slaptažodžių įsilaužimu daugelyje skirtingų organizacijų. Gerai tai, kad pastebėję bet kokį įsilaužėlių padarytą saugumo barjero pažeidimą, NIST gali peržiūrėti savo slaptažodžių gaires, kaip tai darė nuo 2017 m. Kita vertus, kiti saugumo standartai (pvz.,.g., HITRUST, HIPAA, PCI) neatnaujina ir neperžiūri jų pateiktų pradinių pradinių gairių.