Das National Institute of Standards and Technology (NIST) definiert Sicherheitsparameter für staatliche Institutionen. NIST unterstützt Organisationen für konsequente Verwaltungsbedürfnisse. In den letzten Jahren hat NIST die Passwortrichtlinien überarbeitet. ATO -Angriffe (Account Übernahme) sind zu einem lohnenden Geschäft für Cyberkriminelle geworden. Eines der Mitglieder des Top -Managements von NIST drückte seine Ansichten zu traditionellen Richtlinien in einem Interview aus, in dem „Kennwörter erzeugt werden, die für Bösewichte leicht zu erraten sind, sind schwer für legitime Benutzer zu erraten.”(Https: // spycloud.com/neu-nist-guidelines). Dies impliziert, dass die Kunst, die sichersten Passwörter auszuwählen, eine Reihe menschlicher und psychologischer Faktoren beinhaltet. NIST hat das Cybersicherheits -Framework (CSF) entwickelt, um Sicherheitsrisiken effektiver zu verwalten und zu überwinden.
NIST Cybersecurity Framework
Der Cybersicherheitsrahmen des NIST -Rahmens von NIST ist auch als „kritische Infrastruktur Cybersicherheit“ bekannt, in der Regeln angegeben sind, in der angegeben ist, wie Unternehmen Cyberkriminelle unter Kontrolle halten können. Der CSF von NIST besteht aus drei Hauptkomponenten:
- Kern: Führt Unternehmen dazu, ihr Cybersicherheitsrisiko zu verwalten und zu verringern.
- Implementierungsebene: Hilft Unternehmen, indem sie Informationen über die Perspektive des Unternehmens auf das Risikomanagement von Cybersicherheit bereitstellen.
- Profil: Die einzigartige Struktur der Organisation der Anforderungen, Ziele und Ressourcen.
Empfehlungen
Im Folgenden werden Vorschläge und Empfehlungen von NIST in der jüngsten Überarbeitung der Passwortrichtlinien zur Verfügung gestellt.
- Charaktere Länge: Organisationen können ein Kennwort mit einer Mindestcharakterlänge von 8 auswählen, es wird jedoch von NIST sehr empfohlen, ein Kennwort von bis zu maximal 64 Zeichen festzulegen.
- Verhinderung des unbefugten Zugangs: In dem Fall, dass eine nicht autorisierte Person versucht hat, sich bei Ihrem Konto anzumelden, wird empfohlen, das Passwort zu überarbeiten, wenn versucht wird, das Passwort zu stehlen.
- Kompromittiert: Wenn kleine Organisationen oder einfache Benutzer auf ein gestohlenes Passwort stoßen, ändern sie normalerweise das Passwort und vergessen, was passiert ist. NIST schlägt vor, all die Passwörter aufzulisten, die für die gegenwärtige und zukünftige Verwendung gestohlen werden.
- Hinweise: Ignorieren Sie Hinweise und Sicherheitsfragen, während Sie Passwörter auswählen.
- Authentifizierungsversuche: NIST empfiehlt dringend, die Anzahl der Authentifizierungsversuche im Falle eines Versagens einzuschränken. Die Anzahl der Versuche ist begrenzt und es wäre für Hacker unmöglich, mehrere Kombinationen von Passwörtern für die Anmeldung auszuprobieren.
- Kopieren und Einfügen: NIST empfiehlt, Paste -Einrichtungen im Feld Kennwort für die einfache Manager zu verwenden. Entgegen dies wurde in früheren Richtlinien diese Paste -Einrichtung nicht empfohlen. Kennwortmanager verwenden diese Einspeisanlage, wenn es darum geht, ein einzelnes Master -Passwort zu verwenden, um verfügbare Passwörter einzudringen.
- Kompositionsregeln: Die Zusammensetzung von Zeichen kann durch den Endbenutzer zu Unzufriedenheit führen. Daher wird empfohlen, diese Komposition zu überspringen. NIST kam zu dem Schluss, dass der Benutzer normalerweise einen Mangel an Interesse an der Einrichtung eines Kennworts mit der Zusammensetzung von Zeichen zeigt, was ihr Passwort zuschwächt. Wenn der Benutzer beispielsweise sein Passwort als "Timeline" festlegt, akzeptiert das System es nicht und bittet den Benutzer, eine Kombination aus Groß- und Kleinbuchstaben zu verwenden. Danach muss der Benutzer das Kennwort ändern, indem sie die Regeln des im Systems festgelegten Compositing -Sets befolgen. Daher schlägt NIST vor, diese Kompositionsanforderung auszuschließen, da Organisationen möglicherweise ungünstig auf die Sicherheit ausgewiesen werden.
- Verwendung von Zeichen: Normalerweise werden Passwörter, die Leerzeichen enthalten. NIST empfiehlt die Verwendung der Kombination, die der Benutzer will, was bei Bedarf leichter auswendig gelernt und zurückgerufen werden kann.
- Passwortänderung: Häufige Änderungen der Passwörter werden meist in organisatorischen Sicherheitsprotokollen oder für jede Art von Kennwort empfohlen. Die meisten Benutzer wählen ein einfaches und maßgeschneidertes Passwort, das in naher Zukunft geändert werden soll, um den Sicherheitsrichtlinien von Organisationen zu befolgen. NIST empfiehlt, das Kennwort nicht häufig zu ändern und ein Passwort auszuwählen, das komplex genug ist, damit es lange ausgeführt werden kann, um den Benutzer und die Sicherheitsanforderungen zu erfüllen.
Was ist, wenn das Passwort kompromittiert wird??
Die Lieblingsaufgabe der Hacker besteht darin, Sicherheitsbarrieren zu verstoßen. Zu diesem Zweck arbeiten sie daran, innovative Möglichkeiten zu entdecken, die Sie durchlaufen können. Sicherheitsverletzungen haben unzählige Kombinationen von Benutzernamen und Passwörtern, um jede Sicherheitsbarriere zu brechen. Die meisten Organisationen haben außerdem eine Liste von Passwörtern, die Hackern zugänglich sind. Daher blockieren sie jede Kennwortauswahl aus dem Pool der Passwortlisten, auf die auch Hacker zugegriffen werden können. Wenn eine Organisation nicht auf die Passwortliste zugreifen kann, hat NIST einige Richtlinien bereitgestellt, die eine Kennwortliste enthalten kann:
- Eine Liste der Kennwörter, die zuvor verletzt wurden.
- Einfache aus dem Wörterbuch ausgewählte Wörter (e).G., "enthalten", akzeptiert, usw.)
- Kennwortzeichen, die Wiederholung, Serie oder eine einfache Serie enthalten (e.G. 'CCCC, Abcdef' oder 'A1B2C3').
Warum die NIST -Richtlinien befolgen?
Die von NIST bereitgestellten Richtlinien behalten die wichtigsten Sicherheitsbedrohungen im Zusammenhang mit Passwort -Hacks für viele verschiedene Arten von Organisationen fest. Das Gute ist, dass NIST ihre Richtlinien für Passwörter überarbeiten kann, wenn sie einen Verletzungen gegen die von Hackern verursachte Sicherheitsbarriere beobachten, wie sie es seit 2017 tun. Andererseits andere Sicherheitsstandards (e).G., Hitrust, HIPAA, PCI) aktualisieren oder überarbeiten Sie nicht die grundlegenden anfänglichen Richtlinien, die sie bereitgestellt haben.