Рекомендации NIST по паролям

Национальный институт стандартов и технологий (NIST) определяет параметры безопасности для государственных учреждений. NIST помогает организациям удовлетворять административные потребности. В последние годы NIST пересмотрел правила использования паролей. Атаки с захватом аккаунта (ATO) стали выгодным бизнесом для киберпреступников. Один из членов высшего руководства NIST выразил свое мнение о традиционных принципах в интервью: «Создание паролей, которые легко угадать злоумышленникам, трудно угадать законным пользователям.”(Https: // spycloud.com / new-nist -guidelines). Это означает, что искусство подбора наиболее безопасных паролей связано с рядом человеческих и психологических факторов. NIST разработал структуру кибербезопасности (CSF) для более эффективного управления и преодоления рисков безопасности.

Структура кибербезопасности NIST

Также известная как «Кибербезопасность критической инфраструктуры», структура кибербезопасности NIST представляет собой широкий набор правил, определяющих, как организации могут держать киберпреступников под контролем. CSF NIST состоит из трех основных компонентов:

• Основной: Помогает организациям управлять рисками кибербезопасности и снижать их.
• Уровень реализации: Помогает организациям, предоставляя информацию о взглядах организации на управление рисками кибербезопасности.
• Профиль: Уникальная структура организации ее требований, целей и ресурсов.

Рекомендации

Ниже приведены предложения и рекомендации, предоставленные NIST в их недавнем пересмотре правил использования паролей.

• Длина символов: Организации могут выбрать пароль длиной не менее 8 символов, но NIST настоятельно рекомендует устанавливать пароль длиной до 64 символов.
• Предотвращение несанкционированного доступа: В случае, если посторонний человек попытался войти в вашу учетную запись, рекомендуется изменить пароль в случае попытки его кражи.
• Скомпрометировано: Когда небольшие организации или простые пользователи сталкиваются с украденным паролем, они обычно меняют пароль и забывают, что произошло. NIST предлагает перечислить все те пароли, которые были украдены для использования в настоящем и будущем.
• Подсказки: Игнорируйте подсказки и вопросы безопасности при выборе паролей.
• Попытки аутентификации: NIST настоятельно рекомендует ограничить количество попыток аутентификации в случае сбоя. Количество попыток ограничено, и хакеры не смогут попробовать несколько комбинаций паролей для входа в систему.
• Скопировать и вставить: NIST рекомендует использовать возможности вставки в поле пароля для облегчения работы менеджеров. В отличие от этого, в предыдущих руководствах это средство для пасты не рекомендовалось. Менеджеры паролей используют эту возможность вставки, когда доходит до использования одного мастер-пароля для ввода доступных паролей.
• Правила композиции: Композиция символов может вызвать недовольство конечного пользователя, поэтому рекомендуется пропустить эту композицию. NIST пришел к выводу, что пользователь обычно не проявляет интереса к установке пароля с составом символов, что в результате ослабляет его пароль. Например, если пользователь устанавливает свой пароль как «временная шкала», система не принимает его и просит пользователя использовать комбинацию символов верхнего и нижнего регистра. После этого пользователь должен сменить пароль, следуя правилам композитинга, установленным в системе. Поэтому NIST предлагает исключить это требование состава, поскольку организации могут столкнуться с неблагоприятным влиянием на безопасность.
• Использование персонажей: Обычно пароли, содержащие пробелы, отклоняются, потому что подсчитывается пробел, и пользователь забывает пробел (символы), что затрудняет запоминание пароля. NIST рекомендует использовать любую комбинацию, которую хочет пользователь, которую легче запомнить и вызвать при необходимости.
• Изменение пароля: Часто рекомендуется менять пароли в протоколах безопасности организации или для любого типа пароля. Большинство пользователей выбирают простой и легко запоминающийся пароль, который будет изменен в ближайшем будущем, чтобы следовать руководящим принципам безопасности организаций. NIST рекомендует не менять пароль часто и выбирать достаточно сложный пароль, чтобы его можно было запускать в течение длительного времени, чтобы удовлетворить пользователя и требования безопасности.

Что делать, если пароль взломан?

Любимая работа хакеров - преодолевать барьеры безопасности. С этой целью они работают над открытием инновационных возможностей пройти через. Нарушения безопасности содержат бесчисленные комбинации имен пользователей и паролей, чтобы преодолеть любой барьер безопасности. В большинстве организаций также есть список паролей, доступных хакерам, поэтому они блокируют любой выбор пароля из пула списков паролей, который также доступен хакерам. Принимая во внимание ту же озабоченность, если какая-либо организация не может получить доступ к списку паролей, NIST предоставил некоторые рекомендации, которые может содержать список паролей:

• Список тех паролей, которые были взломаны ранее.
• Простые слова, выбранные из словаря (e.грамм., "содержать", "принято" и т. д.)
• Символы пароля, содержащие повторение, серию или простую серию (e.грамм. cccc, abcdef или a1b2c3).

Зачем следовать рекомендациям NIST?

Рекомендации, предоставленные NIST, учитывают основные угрозы безопасности, связанные со взломом паролей, для самых разных организаций. Хорошо то, что, если они заметят какое-либо нарушение барьера безопасности, вызванное хакерами, NIST может пересмотреть свои правила для паролей, как они это делали с 2017 года. С другой стороны, другие стандарты безопасности (e.грамм., HITRUST, HIPAA, PCI) не обновляют и не пересматривают базовые исходные рекомендации, которые они предоставили.