Вказівки щодо паролів NIST

Національний інститут стандартів і технологій (NIST) визначає параметри безпеки для державних установ. NIST допомагає організаціям у задоволенні адміністративних потреб. В останні роки NIST переглянув інструкції щодо паролів. Напади на поглинання рахунків (ATO) стали корисним бізнесом для кіберзлочинців. Один з членів вищого керівництва NIST висловив свою думку щодо традиційних правил, в інтерв'ю "створення паролів, які легко вгадати поганим хлопцям, важко вгадати законним користувачам.”(Https: // spycloud.com / new-nist-керівні принципи). Це означає, що мистецтво вибору найбезпечніших паролів включає низку людських та психологічних факторів. NIST розробив систему кібербезпеки (CSF) для більш ефективного управління та подолання ризиків безпеки.

Рамка кібербезпеки NIST

Також відомий як "Кібербезпека критичної інфраструктури", система кібербезпеки NIST представляє широку структуру правил, що визначають, як організації можуть тримати кіберзлочинців під контролем. CSF NIST складається з трьох основних компонентів:

• Ядро: Веде організації до управління та зменшення ризику кібербезпеки.
• Рівень реалізації: Допомагає організаціям, надаючи інформацію про перспективи організації щодо управління ризиками кібербезпеки.
• Профіль: Унікальна структура організації, що стосується її вимог, цілей та ресурсів.

Рекомендації

Далі наводяться пропозиції та рекомендації, надані NIST в останніх версіях щодо вказівки щодо паролів.

• Довжина символів: Організації можуть вибрати пароль мінімальної довжини 8 символів, але NIST рекомендує встановлювати пароль максимум до 64 символів.
• Запобігання несанкціонованому доступу: У випадку, якщо несанкціонована особа намагалася увійти до вашого облікового запису, рекомендується переглянути пароль у разі спроби викрасти пароль.
• Порушення: Коли невеликі організації або прості користувачі стикаються з викраденим паролем, вони, як правило, змінюють пароль і забувають про те, що сталося. NIST пропонує перерахувати всі ті паролі, які були вкрадені для поточного та майбутнього використання.
• Підказки: Ігноруйте підказки та питання безпеки під час вибору паролів.
• Спроби автентифікації: NIST настійно рекомендує обмежити кількість спроб автентифікації у випадку помилки. Кількість спроб обмежена, і хакерам буде неможливо спробувати кілька комбінацій паролів для входу.
• Копіювати і вставляти: NIST рекомендує використовувати засоби вставлення в поле пароля для зручності менеджерів. На відміну від цього, у попередніх настановах цей засіб для наклеювання не рекомендувалося. Менеджери паролів використовують цю можливість вставлення, коли мова йде про використання одного головного пароля для проникнення доступних паролів.
• Правила композиції: Склад символів може спричинити невдоволення кінцевого користувача, тому рекомендується пропустити цю композицію. NIST дійшов висновку, що користувач зазвичай виявляє недостатню зацікавленість у встановленні пароля зі складом символів, що в результаті послаблює його пароль. Наприклад, якщо користувач встановлює свій пароль як "часову шкалу", система не приймає його і просить користувача використовувати комбінацію великих та малих символів. Після цього користувач повинен змінити пароль, дотримуючись правил композиційного набору в системі. Тому NIST пропонує виключити цю вимогу щодо складу, оскільки організації можуть зіткнутися з несприятливим впливом на безпеку.
• Використання символів: Зазвичай паролі, що містять пробіли, відхиляються, оскільки підраховується пробіл, і користувач забуває пробіл, що ускладнює запам'ятовування пароля. NIST рекомендує використовувати будь-яку комбінацію, яку бажає користувач, яку можна легше запам’ятати та викликати при необхідності.
• Зміна пароля: Часті зміни паролів переважно рекомендуються в організаційних протоколах безпеки або для будь-якого типу паролів. Більшість користувачів обирають легкий і запам'ятовується пароль, який слід змінити найближчим часом, щоб дотримуватися вказівок щодо безпеки організацій. NIST рекомендує не часто змінювати пароль і вибирати пароль, який є досить складним, щоб його можна було тривалий час запускати, щоб задовольнити вимоги користувача та безпеки.

Що робити, якщо пароль порушено?

Улюбленою роботою хакерів є порушення бар'єрів безпеки. З цією метою вони працюють над виявленням інноваційних можливостей для проходження. Порушення безпеки містять незліченну кількість комбінацій імен користувачів та паролів, щоб зламати будь-який бар’єр безпеки. У більшості організацій також є список паролів, доступний хакерам, тому вони блокують будь-який вибір паролів із пулу списків паролів, який також доступний хакерам. Беручи до уваги ту саму проблему, якщо будь-яка організація не може отримати доступ до списку паролів, NIST надав деякі вказівки, які список паролів може містити:

• Список тих паролів, які раніше були порушені.
• Прості слова, вибрані зі словника (наприклад,.g., 'містити, "прийнято" тощо.)
• Символи пароля, що містять повторення, серії або прості серії (наприклад,.g. 'cccc, "abcdef" або "a1b2c3").

Чому слід дотримуватися рекомендацій NIST?

Настанови, надані NIST, враховують основні загрози безпеці, пов’язані із злому паролів для багатьох різних типів організацій. Хороша річ у тому, що, якщо вони помітять будь-яке порушення бар’єру безпеки, спричинене хакерами, NIST може переглянути свої вказівки щодо паролів, як це робили з 2017 року. З іншого боку, інші стандарти безпеки (наприклад,.g., HITRUST, HIPAA, PCI) не оновлюють і не переглядають основні початкові рекомендації, які вони надали.