Linii directoare pentru parolă NIST

Institutul Național de Standarde și Tehnologie (NIST) definește parametrii de securitate pentru instituțiile guvernamentale. NIST asistă organizațiile pentru necesități administrative consistente. În ultimii ani, NIST a revizuit liniile directoare privind parola. Atacurile de preluare a contului (ATO) au devenit o afacere plină de satisfacții pentru infractorii cibernetici. Unul dintre membrii conducerii superioare a NIST și-a exprimat punctul de vedere cu privire la orientările tradiționale, într-un interviu „producerea parolelor ușor de ghicit pentru băieții răi sunt greu de ghicit pentru utilizatorii legitimi.”(Https: // spycloud.com / new-nist-guides). Aceasta implică faptul că arta de a alege cele mai sigure parole implică o serie de factori umani și psihologici. NIST a dezvoltat cadrul de securitate cibernetică (CSF) pentru a gestiona și a depăși riscurile de securitate mai eficient.

Cadrul de securitate cibernetică NIST

Cunoscut și sub denumirea de „infrastructură critică pentru securitatea cibernetică”, cadrul de securitate cibernetică al NIST prezintă un aranjament larg de reguli care specifică modul în care organizațiile pot ține sub control infractorii cibernetici. LCR al NIST cuprinde trei componente principale:

• Nucleu: Conduce organizațiile să gestioneze și să reducă riscul de securitate cibernetică.
• Nivelul de implementare: Ajută organizațiile oferind informații cu privire la perspectiva organizației cu privire la gestionarea riscurilor de securitate cibernetică.
• Profil: Structura unică a organizației a cerințelor, obiectivelor și resurselor sale.

Recomandări

Următoarele includ sugestii și recomandări furnizate de NIST în revizuirea recentă a regulilor privind parolele.

• Lungime caractere: Organizațiile pot alege o parolă cu o lungime minimă de 8 caractere, dar este recomandat de NIST să setați o parolă de maximum 64 de caractere.
• Prevenirea accesului neautorizat: În cazul în care o persoană neautorizată a încercat să se conecteze la contul dvs., este recomandat să revizuiți parola în cazul unei încercări de a fura parola.
• Compromis: Când organizațiile mici sau utilizatorii simpli întâlnesc o parolă furată, de obicei schimbă parola și uită ce s-a întâmplat. NIST sugerează să enumere toate acele parole care sunt furate pentru utilizare prezentă și viitoare.
• Sugestii: Ignorați indicii și întrebări de securitate în timp ce alegeți parolele.
• Încercări de autentificare: NIST recomandă cu tărie restricționarea numărului de încercări de autentificare în caz de eșec. Numărul de încercări este limitat și ar fi imposibil ca hackerii să încerce mai multe combinații de parole pentru autentificare.
• Copiaza si lipeste: NIST recomandă utilizarea facilităților de lipire în câmpul de parole pentru ușurința managerilor. Spre deosebire de aceasta, în liniile directoare anterioare, această facilitate de lipire nu a fost recomandată. Administratorii de parole folosesc această facilitate de lipire atunci când vine vorba de utilizarea unei singure parole master pentru a introduce parolele disponibile.
• Reguli de compoziție: Compoziția de caractere poate duce la nemulțumiri de către utilizatorul final, de aceea se recomandă să omiteți această compoziție. NIST a concluzionat că utilizatorul arată de obicei lipsa de interes în configurarea unei parole cu compoziția de caractere, ceea ce, în consecință, le slăbește parola. De exemplu, dacă utilizatorul își setează parola ca „cronologie”, sistemul nu o acceptă și îi cere utilizatorului să utilizeze o combinație de caractere majuscule și minuscule. După aceea, utilizatorul trebuie să schimbe parola urmând regulile setului de compoziție din sistem. Prin urmare, NIST sugerează excluderea acestei cerințe de compoziție, deoarece organizațiile se pot confrunta cu un efect nefavorabil asupra securității.
• Utilizarea caracterelor: De obicei, parolele care conțin spații sunt respinse deoarece spațiul este numărat, iar utilizatorul uită caracterul (spațiile) spațiului, îngreunând memorarea parolei. NIST recomandă utilizarea oricărei combinații pe care o dorește utilizatorul, care poate fi memorată și reamintită mai ușor ori de câte ori este necesar.
• Modificare parolă: Modificările frecvente ale parolelor sunt recomandate mai ales în protocoalele de securitate organizaționale sau pentru orice fel de parolă. Majoritatea utilizatorilor aleg o parolă ușoară și memorabilă pentru a fi schimbată în viitorul apropiat pentru a respecta liniile directoare de securitate ale organizațiilor. NIST recomandă să nu schimbați parola frecvent și să alegeți o parolă care să fie suficient de complexă, astfel încât să poată fi rulată mult timp pentru a satisface utilizatorul și cerințele de securitate.

Ce se întâmplă dacă parola este compromisă?

Sarcina preferată a hackerilor este de a încălca barierele de securitate. În acest scop, ei lucrează pentru a descoperi posibilități inovatoare prin care să treacă. Încălcările de securitate au nenumărate combinații de nume de utilizator și parole pentru a sparge orice barieră de securitate. Majoritatea organizațiilor au, de asemenea, o listă de parole accesibile hackerilor, deci blochează orice selecție de parole din grupul de liste de parole, care este accesibilă și hackerilor. Ținând cont de aceeași preocupare, dacă orice organizație nu poate accesa lista de parole, NIST a furnizat câteva linii directoare pe care o listă de parole poate conține:

• O listă a acelor parole care au fost încălcate anterior.
• Cuvinte simple selectate din dicționar (e.g., „conține,„ acceptat ”etc.)
• Caracterele parolei care conțin repetări, serii sau o serie simplă (de ex.g. „cccc”, „abcdef” sau „a1b2c3”).

De ce urmați instrucțiunile NIST?

Liniile directoare furnizate de NIST țin seama de principalele amenințări la adresa securității legate de pirateria parolelor pentru multe tipuri diferite de organizații. Lucrul bun este că, dacă observă orice încălcare a barierei de securitate cauzată de hackeri, NIST își poate revizui liniile directoare pentru parole, așa cum procedează din 2017. Pe de altă parte, alte standarde de securitate (e.g., HITRUST, HIPAA, PCI) nu actualizează și nu revizuiesc orientările inițiale de bază pe care le-au furnizat.