Насоки за парола за NIST

Националният институт за стандарти и технологии (NIST) определя параметрите за сигурност на държавните институции. NIST подпомага организациите за постоянни административни нужди. През последните години NIST преразгледа насоките за паролата. Атаките за поглъщане на акаунти (ATO) се превърнаха в полезен бизнес за киберпрестъпниците. Един от членовете на висшето ръководство на NIST изрази своите виждания относно традиционните насоки, в интервю „производството на пароли, които лесно се отгатват за лоши, е трудно да се отгатне за законните потребители.”(Https: // spycloud.com / new-nist-указания). Това предполага, че изкуството да избираш най-сигурните пароли включва редица човешки и психологически фактори. NIST разработи Рамката за киберсигурност (CSF), за да управлява и преодолява рисковете за сигурността по-ефективно.

Рамка за киберсигурност на NIST

Известна още като „Киберсигурност на критичната инфраструктура“, рамката за киберсигурност на NIST представя широко подреждане на правила, уточняващи как организациите могат да държат киберпрестъпниците под контрол. CSF на NIST се състои от три основни компонента:

• Ядро: Води организации да управляват и намаляват риска от киберсигурност.
• Ниво на изпълнение: Помага на организациите, като предоставя информация относно перспективата на организацията за управление на риска от киберсигурността.
• Профил: Уникалната структура на организацията на нейните изисквания, цели и ресурси.

Препоръки

Следното включва предложения и препоръки, предоставени от NIST в неотдавнашната им ревизия на насоките за пароли.

• Дължина на символите: Организациите могат да избират парола с минимална дължина на символа 8, но NIST препоръчва силно да зададете парола до максимум 64 знака.
• Предотвратяване на неоторизиран достъп: В случай, че неупълномощено лице се е опитало да влезе във вашия акаунт, препоръчително е да преразгледате паролата в случай на опит за кражба на паролата.
• Компрометиран: Когато малки организации или обикновени потребители се сблъскат с открадната парола, те обикновено сменят паролата и забравят какво се е случило. NIST предлага да се изброят всички онези пароли, които са откраднати за настояща и бъдеща употреба.
• Съвети: Пренебрегвайте съвети и въпроси за сигурност, докато избирате пароли.
• Опити за удостоверяване: NIST настоятелно препоръчва да се ограничи броят на опитите за удостоверяване в случай на неуспех. Броят на опитите е ограничен и за хакерите би било невъзможно да изпробват множество комбинации от пароли за влизане.
• Копиране и поставяне: NIST препоръчва да използвате съоръжения за поставяне в полето за парола за улеснение на мениджърите. Противно на това, в предишните насоки това средство за поставяне не се препоръчва. Мениджърите на пароли използват това средство за поставяне, когато става въпрос за използване на една главна парола за достъп до наличните пароли.
• Правила за композиция: Съставът на знаците може да доведе до недоволство от крайния потребител, затова се препоръчва да пропуснете този състав. NIST заключи, че потребителят обикновено проявява липса на интерес към създаването на парола със състав от символи, което в резултат отслабва паролата им. Например, ако потребителят зададе паролата си като „времева линия“, системата не я приема и иска от потребителя да използва комбинация от главни и малки букви. След това потребителят трябва да смени паролата, като следва правилата на набора за композиране в системата. Ето защо NIST предлага да се изключи това изискване за състав, тъй като организациите могат да се сблъскат с неблагоприятен ефект върху сигурността.
• Използване на символи: Обикновено паролите, съдържащи интервали, се отхвърлят, тъй като интервалът се брои и потребителят забравя символите за интервал, което прави паролата трудна за запомняне. NIST препоръчва да се използва каквато комбинация желае потребителят, която може да се запомни по-лесно и да се извика, когато е необходимо.
• Промяна на паролата: Честите промени в паролите се препоръчват най-вече в организационните протоколи за сигурност или за всякакъв вид парола. Повечето потребители избират лесна и запомняща се парола, която да бъде променена в близко бъдеще, за да следват указанията за сигурност на организациите. NIST препоръчва да не сменяте паролата често и да избирате парола, която е достатъчно сложна, за да може да се изпълнява дълго време, за да удовлетвори потребителя и изискванията за сигурност.

Ами ако паролата е компрометирана?

Любимата работа на хакерите е да пробият бариерите за сигурност. За тази цел те работят, за да открият иновативни възможности за преминаване. Нарушенията на сигурността имат безброй комбинации от потребителски имена и пароли, за да пробият всяка бариера за сигурност. Повечето организации също имат списък с пароли, достъпен за хакери, така че блокират всеки избор на пароли от пула от списъци с пароли, който е достъпен и за хакери. Имайки предвид същата загриженост, ако някоя организация не може да осъществи достъп до списъка с пароли, NIST предостави някои насоки, които списъкът с пароли може да съдържа:

• Списък на тези пароли, които са били нарушени преди това.
• Прости думи, избрани от речника (напр.ж., съдържат, "приети" и т.н.)
• Паролни знаци, които съдържат повторение, поредица или обикновена поредица (напр.ж. 'cccc, "abcdef или" a1b2c3').

Защо да следвате насоките на NIST?

Насоките, предоставени от NIST, отчитат основните заплахи за сигурността, свързани с хакове на пароли за много различни видове организации. Хубавото е, че ако наблюдават някакво нарушение на бариерата за сигурност, причинено от хакери, NIST може да преразгледа своите указания за пароли, както правят от 2017 г. От друга страна, други стандарти за сигурност (напр.ж., HITRUST, HIPAA, PCI) не актуализират или ревизират основните първоначални насоки, които са предоставили.