Riktlinjer för NIST-lösenord

National Institute of Standards and Technology (NIST) definierar säkerhetsparametrar för statliga institutioner. NIST hjälper organisationer med konsekventa administrativa behov. Under de senaste åren har NIST reviderat riktlinjerna för lösenord. ATO-attacker (Account Takeover) har blivit en givande affär för cyberbrottslingar. En av medlemmarna i NIST: s högsta ledning uttryckte sina åsikter om traditionella riktlinjer, i en intervju "att producera lösenord som är lätta att gissa för skurkar är svåra att gissa för legitima användare.”(Https: // spycloud.com / new-nist-guidelines). Detta innebär att konsten att välja de säkraste lösenorden involverar ett antal mänskliga och psykologiska faktorer. NIST har utvecklat Cybersecurity Framework (CSF) för att hantera och övervinna säkerhetsrisker mer effektivt.

NIST Cybersecurity Framework

Även känd som "Kritisk infrastruktur cybersäkerhet", presenterar nätverksramen för NIST ett brett arrangemang av regler som anger hur organisationer kan hålla cyberbrottslingar under kontroll. NISF: s CSF består av tre huvudkomponenter:

• Kärna: Leder organisationer att hantera och minska sin cybersäkerhetsrisk.
• Implementeringsnivå: Hjälper organisationer genom att ge information om organisationens perspektiv på riskhantering av cybersäkerhet.
• Profil: Organisationens unika struktur för dess krav, mål och resurser.

Rekommendationer

Följande innehåller förslag och rekommendationer från NIST i deras senaste översyn av riktlinjer för lösenord.

• Teckenlängd: Organisationer kan välja ett lösenord på minst 8 tecken, men det rekommenderas starkt av NIST att ställa in ett lösenord på högst 64 tecken.
• Förhindra obehörig åtkomst: Om en obehörig person har försökt logga in på ditt konto rekommenderas att du ändrar lösenordet om du försöker stjäla lösenordet.
• Kompromissat: När små organisationer eller enkla användare stöter på ett stulet lösenord ändrar de vanligtvis lösenordet och glömmer vad som hände. NIST föreslår att lista alla lösenord som stuls för nuvarande och framtida användning.
• Tips: Ignorera tips och säkerhetsfrågor när du väljer lösenord.
• Autentiseringsförsök: NIST rekommenderar starkt att begränsa antalet autentiseringsförsök i händelse av misslyckande. Antalet försök är begränsat och det skulle vara omöjligt för hackare att prova flera kombinationer av lösenord för inloggning.
• Kopiera och klistra: NIST rekommenderar att du använder klistra in i lösenordsfältet för att underlätta för chefer. I motsats till detta rekommenderades denna pastafacilitet inte i tidigare riktlinjer. Lösenordshanterare använder denna klistrafunktion när det gäller att använda ett enda huvudlösenord för att få in tillgängliga lösenord.
• Sammansättningsregler: Sammansättning av tecken kan resultera i missnöje av slutanvändaren, så det rekommenderas att hoppa över denna komposition. NIST drog slutsatsen att användaren vanligtvis visar ett bristande intresse för att ställa in ett lösenord med teckenkomposition, vilket resulterar i att försvagar sitt lösenord. Om användaren till exempel anger sitt lösenord som 'tidslinje' accepterar systemet inte det och ber användaren att använda en kombination av stora och små bokstäver. Därefter måste användaren ändra lösenordet genom att följa reglerna för sammansättningen i systemet. Därför föreslår NIST att utesluta detta krav på sammansättning, eftersom organisationer kan möta en ogynnsam effekt på säkerheten.
• Användning av karaktärer: Vanligtvis avvisas lösenord som innehåller mellanslag eftersom utrymme räknas och användaren glömmer mellanslagsteckenen, vilket gör lösenordet svårt att komma ihåg. NIST rekommenderar att du använder vilken kombination som användaren vill ha, vilket lättare kan lagras och återkallas när det behövs.
• Lösenordsbyte: Frekventa ändringar av lösenord rekommenderas oftast i organisatoriska säkerhetsprotokoll eller för alla typer av lösenord. De flesta användare väljer ett enkelt och minnesvärt lösenord som ska ändras inom en snar framtid för att följa organisationernas säkerhetsriktlinjer. NIST rekommenderar att du inte byter lösenord ofta och väljer ett lösenord som är tillräckligt komplicerat så att det kan köras under lång tid för att tillfredsställa användaren och säkerhetskraven.

Vad händer om lösenordet äventyras?

Hackares favoritjobb är att bryta mot säkerhetshinder. För detta ändamål arbetar de för att upptäcka innovativa möjligheter att passera igenom. Säkerhetsöverträdelser har otaliga kombinationer av användarnamn och lösenord för att bryta alla säkerhetsbarriärer. De flesta organisationer har också en lista över lösenord som är tillgängliga för hackare, så de blockerar val av lösenord från poolen med lösenordslistor, som också är tillgängliga för hackare. Med tanke på samma problem, om någon organisation inte kan komma åt lösenordslistan, har NIST tillhandahållit några riktlinjer som en lösenordslista kan innehålla:

• En lista över de lösenord som har brutits tidigare.
• Enkla ord valda från ordlistan (e.g., 'innehålla, "accepterat," osv.)
• Lösenordstecken som innehåller repetition, serier eller en enkel serie (t.ex.g. 'cccc, "abcdef' eller 'a1b2c3').

Varför följa NIST-riktlinjerna?

Riktlinjerna som tillhandahålls av NIST visar de viktigaste säkerhetshoten relaterade till lösenordshack för många olika typer av organisationer. Det som är bra är att NIST kan se sina riktlinjer för lösenord, som de har gjort sedan 2017, om de ser någon överträdelse av säkerhetsbarriären som orsakas av hackare. Å andra sidan andra säkerhetsstandarder (t.ex.g., HITRUST, HIPAA, PCI) uppdaterar eller reviderar inte de grundläggande inledande riktlinjerna som de har gett.