Smjernice za NIST lozinku

Nacionalni institut za standarde i tehnologiju (NIST) definira sigurnosne parametre za vladine institucije. NIST pomaže organizacijama u pružanju dosljednih administrativnih potreba. Posljednjih je godina NIST revidirao smjernice za lozinke. Napadi na preuzimanje računa (ATO) postali su nagrađujući posao za cyber kriminalce. Jedan od članova najvišeg rukovodstva NIST-a izrazio je svoje stavove o tradicionalnim smjernicama, u intervjuu „stvaranje lozinki koje je lako pogoditi negativcima teško je pogoditi legitimnim korisnicima.”(Https: // spycloud.com / new-nist-smjernice). To implicira da umijeće odabira najsigurnijih lozinki uključuje brojne ljudske i psihološke čimbenike. NIST je razvio Okvir za kibernetsku sigurnost (CSF) za učinkovitije upravljanje i prevladavanje sigurnosnih rizika.

NIST Okvir za internetsku sigurnost

Poznat i pod nazivom "Kiparska sigurnost kibernetičke infrastrukture", okvir za kibernetsku sigurnost NIST-a predstavlja široki aranžman pravila koja određuju kako organizacije mogu držati cyber kriminalce pod kontrolom. CSF NIST-a sastoji se od tri glavne komponente:

• Jezgra: Vodi organizacije da upravljaju i smanje rizik od kibernetičke sigurnosti.
• Razina implementacije: Pomaže organizacijama pružanjem informacija u vezi s perspektivom organizacije na upravljanje rizikom od cyber sigurnosti.
• Profil: Jedinstvena struktura organizacijskih zahtjeva, ciljeva i resursa.

Preporuke

Sljedeće uključuje prijedloge i preporuke koje je pružio NIST u nedavnoj reviziji smjernica za lozinke.

• Dužina znakova: Organizacije mogu odabrati lozinku minimalne duljine znakova 8, ali NIST preporučuje da lozinku postavite na najviše 64 znaka.
• Sprječavanje neovlaštenog pristupa: U slučaju da se neovlaštena osoba pokušala prijaviti na vaš račun, preporučuje se revidiranje lozinke u slučaju pokušaja krađe lozinke.
• Kompromitovano: Kada se male organizacije ili jednostavni korisnici susretnu s ukradenom lozinkom, obično promijene lozinku i zaborave što se dogodilo. NIST predlaže da se navedu sve one lozinke koje su ukradene za sadašnju i buduću upotrebu.
• Savjeti: Zanemarujte savjete i sigurnosna pitanja prilikom odabira lozinki.
• Pokušaji autentifikacije: NIST toplo preporučuje ograničavanje broja pokušaja provjere autentičnosti u slučaju neuspjeha. Broj pokušaja je ograničen i hakerima bi bilo nemoguće isprobati više kombinacija lozinki za prijavu.
• Kopiranje i lijepljenje: NIST preporučuje uporabu mogućnosti lijepljenja u polju lozinke radi lakšeg upravljanja. Suprotno tome, u prethodnim smjernicama ova se pasta nije preporučivala. Menadžeri lozinki koriste ovu mogućnost lijepljenja kada je u pitanju upotreba jedne glavne lozinke za ulazak u dostupne lozinke.
• Pravila o sastavu: Sastav znakova može rezultirati nezadovoljstvom krajnjeg korisnika, pa je preporučljivo preskočiti ovaj sastav. NIST je zaključio da korisnik obično pokazuje nezainteresiranost za postavljanje lozinke sa sastavom znakova, što rezultira slabljenjem njihove lozinke. Na primjer, ako korisnik postavi svoju lozinku kao 'vremensku traku', sustav je neće prihvatiti i traži od korisnika da koristi kombinaciju velikih i malih slova. Nakon toga korisnik mora promijeniti lozinku slijedeći pravila sastavljanja postavljena u sustavu. Stoga NIST predlaže da se isključi ovaj zahtjev za sastavljanjem, jer se organizacije mogu suočiti s nepovoljnim učinkom na sigurnost.
• Korištenje znakova: Lozinke koje sadrže razmake obično se odbijaju jer se prostor broji, a korisnik zaboravlja razmake, čineći lozinku teškom za pamćenje. NIST preporučuje upotrebu bilo koje kombinacije koju korisnik želi, a koju je lakše zapamtiti i opozvati kad god je potrebno.
• Promjena lozinke: Česte promjene lozinki uglavnom se preporučuju u organizacijskim sigurnosnim protokolima ili za bilo koju vrstu lozinke. Većina korisnika odabire jednostavnu i pamtljivu lozinku koju će u bliskoj budućnosti promijeniti kako bi slijedili sigurnosne smjernice organizacija. NIST preporučuje da lozinku ne mijenjate često i da odaberete lozinku koja je dovoljno složena da se može dugo koristiti radi zadovoljenja korisnika i sigurnosnih zahtjeva.

Što ako je lozinka ugrožena?

Omiljeni posao hakera je kršenje sigurnosnih barijera. U tu svrhu rade na otkrivanju inovativnih mogućnosti za prolazak. Sigurnosne povrede sadrže bezbroj kombinacija korisničkih imena i lozinki za probijanje bilo koje sigurnosne barijere. Većina organizacija također ima popis lozinki koji su dostupni hakerima, pa blokiraju svaki odabir lozinke iz skupa popisa lozinki, koji je također dostupan hakerima. Imajući u vidu istu zabrinutost, ako bilo koja organizacija ne može pristupiti popisu lozinki, NIST je pružio neke smjernice koje popis lozinki može sadržavati:

• Popis onih lozinki koje su prethodno prekršene.
• Jednostavne riječi odabrane iz rječnika (npr.g., 'sadrže, "prihvaćeno" itd.)
• Znakovi lozinke koji sadrže ponavljanje, niz ili jednostavnu seriju (npr.g. 'cccc, "abcdef ili" a1b2c3').

Zašto slijediti smjernice NIST-a?

Smjernice koje pruža NIST uvažavaju glavne sigurnosne prijetnje povezane s hakiranjem lozinki za mnoge različite vrste organizacija. Dobra stvar je što, ako primijete bilo kakvo kršenje sigurnosne barijere koju su prouzročili hakeri, NIST može revidirati svoje smjernice za lozinke, kao što to čine od 2017. S druge strane, drugi sigurnosni standardi (npr.g., HITRUST, HIPAA, PCI) ne ažuriraju ili revidiraju osnovne početne smjernice koje su dali.