NIST paroles vadlīnijas

Nacionālais standartu un tehnoloģiju institūts (NIST) nosaka valdības iestāžu drošības parametrus. NIST palīdz organizācijām konsekventas administratīvās vajadzības. Pēdējos gados NIST ir pārskatījis paroļu vadlīnijas. Konta pārņemšanas (ATO) uzbrukumi kibernoziedzniekiem ir kļuvuši par izdevīgu biznesu. Viens no NIST augstākās vadības locekļiem pauda savu viedokli par tradicionālajām vadlīnijām, intervijā “tādu paroļu izgatavošana, kurus ir viegli uzminēt ļaundariem, ir grūti uzminēt likumīgiem lietotājiem.”(Https: // spycloud.com / new-nist-Guidelines). Tas nozīmē, ka māksla, kā izvēlēties drošākās paroles, ietver vairākus cilvēciskus un psiholoģiskus faktorus. NIST ir izstrādājusi kiberdrošības sistēmu (CSF), lai efektīvāk pārvaldītu un pārvarētu drošības riskus.

NIST kiberdrošības sistēma

NIST kiberdrošības sistēma, kas pazīstama arī kā “Kritiskās infrastruktūras kiberdrošība”, piedāvā plašu noteikumu izkārtojumu, norādot, kā organizācijas var kontrolēt kibernoziedzniekus. NIST CSF sastāv no trim galvenajiem komponentiem:

• Kodols: Liek organizācijām pārvaldīt un samazināt savu kiberdrošības risku.
• Ieviešanas līmenis: Palīdz organizācijām, sniedzot informāciju par organizācijas perspektīvu kiberdrošības riska pārvaldībā.
• Profils: Organizācijas unikālā prasību, mērķu un resursu struktūra.

Ieteikumi

Tālāk ir iekļauti ieteikumi un ieteikumi, ko NIST sniedza nesen pārskatot paroļu vadlīnijas.

• Rakstzīmju garums: Organizācijas var izvēlēties paroli, kuras minimālais rakstzīmju garums ir 8, taču NIST ļoti iesaka iestatīt paroli, kas nepārsniedz 64 rakstzīmes.
• Neautorizētas piekļuves novēršana: Gadījumā, ja nepiederoša persona ir mēģinājusi pieteikties jūsu kontā, ieteicams paroli pārskatīt, ja mēģināt nozagt paroli.
• Kompromiss: Kad mazas organizācijas vai vienkārši lietotāji sastopas ar nozagtu paroli, viņi parasti nomaina paroli un aizmirst notikušo. NIST iesaka uzskaitīt visas tās paroles, kas tiek nozagtas pašreizējai un turpmākai izmantošanai.
• Padomi: Izvēloties paroles, ignorējiet padomus un drošības jautājumus.
• Autentifikācijas mēģinājumi: NIST stingri iesaka ierobežot autentifikācijas mēģinājumu skaitu neveiksmes gadījumā. Mēģinājumu skaits ir ierobežots, un hakeriem būtu neiespējami izmēģināt vairākas paroļu kombinācijas, lai pieteiktos.
• Kopēt un ielīmēt: NIST iesaka paroļu laukā vadītāju ērtībai izmantot ielīmēšanas iespējas. Pretēji tam iepriekšējās vadlīnijās šī pastas iekārta nebija ieteicama. Paroļu pārvaldnieki izmanto šo ielīmēšanas iespēju, kad pieejamo paroļu iekļūšanai jāizmanto viena galvenā parole.
• Kompozīcijas noteikumi: Rakstzīmju kompozīcija var izraisīt gala lietotāja neapmierinātību, tāpēc ieteicams šo sastāvu izlaist. NIST secināja, ka lietotājs parasti neinteresējas paroles iestatīšanai ar rakstzīmju sastāvu, kas rezultātā vājina viņu paroli. Piemēram, ja lietotājs savu paroli iestata kā “laika skalu”, sistēma to nepieņem un lūdz lietotāju izmantot lielo un mazo burtu kombināciju. Pēc tam lietotājam ir jāmaina parole, ievērojot sistēmā iestatītā sastādīšanas noteikumus. Tāpēc NIST iesaka izslēgt šo prasību par sastāvu, jo organizācijām var rasties nelabvēlīga ietekme uz drošību.
• Rakstzīmju izmantošana: Parasti paroles, kurās ir atstarpes, tiek noraidītas, jo vieta tiek skaitīta, un lietotājs aizmirst atstarpes raksturu (-us), padarot paroli grūti iegaumējamu. NIST iesaka izmantot jebkuru lietotāja vēlamu kombināciju, kuru var vieglāk iegaumēt un atsaukt, kad vien nepieciešams.
• Paroles maiņa: Biežas paroļu izmaiņas galvenokārt tiek ieteiktas organizācijas drošības protokolos vai jebkura veida parolēs. Lielākā daļa lietotāju izvēlas vienkāršu un atmiņā iegaumējamu paroli, kas jāmaina tuvākajā nākotnē, lai ievērotu organizāciju drošības vadlīnijas. NIST iesaka nemainīt paroli bieži un izvēlēties pietiekami sarežģītu paroli, lai to varētu palaist ilgu laiku, lai apmierinātu lietotāja un drošības prasības.

Ko darīt, ja parole ir apdraudēta?

Hakeru iecienītākais darbs ir pārkāpt drošības barjeras. Šim nolūkam viņi strādā, lai atklātu novatoriskas iespējas iziet cauri. Drošības pārkāpumiem ir neskaitāmas lietotājvārdu un paroļu kombinācijas, lai pārvarētu jebkuru drošības barjeru. Lielākajai daļai organizāciju ir arī hakeriem pieejamo paroļu saraksts, tāpēc tās bloķē jebkuru paroļu izvēli no paroļu sarakstu kopas, kas ir pieejams arī hakeriem. Paturot prātā to pašu problēmu, ja kāda organizācija nevar piekļūt paroļu sarakstam, NIST ir sniegusi dažas vadlīnijas, kuras paroļu sarakstā var iekļaut:

• To paroļu saraksts, kuras iepriekš ir pārkāptas.
• Vienkārši vārdi, kas izvēlēti no vārdnīcas (piemēram,.g., "satur", "pieņemts" utt.)
• Paroles rakstzīmes, kas satur atkārtošanos, sērijas vai vienkāršu sēriju (piemēram,.g. "cccc", "abcdef" vai "a1b2c3").

Kāpēc jāievēro NIST vadlīnijas?

NIST sniegtajās vadlīnijās tiek ņemti vērā galvenie drošības draudi, kas saistīti ar paroļu uzlaušanu daudzām dažādu veidu organizācijām. Labi ir tas, ka, ja viņi novēro jebkuru hakeru izraisītu drošības barjeras pārkāpumu, NIST var pārskatīt savas paroļu vadlīnijas, kā tas ir darīts kopš 2017. gada. No otras puses, citi drošības standarti (piemēram,.g., HITRUST, HIPAA, PCI) neatjaunina un nepārskata viņu sniegtās sākotnējās pamatnostādnes.