NIST -Passwortrichtlinien

Jessica Schimmer
NIST -Passwortrichtlinien
Das National Institute of Standards and Technology (NIST) definiert Sicherheitsparameter für staatliche Institutionen. NIST unterstützt Organisationen für konsequente Verwaltungsbedürfnisse. In den letzten Jahren hat NIST die Passwortrichtlinien überarbeitet. ATO -Angriffe (Account Übernahme) sind zu einem lohnenden Geschäft für Cyberkriminelle geworden. Eines der Mitglieder des Top -Managements von NIST drückte seine Ansichten zu traditionellen Richtlinien in einem Interview aus, in dem „Kennwörter erzeugt werden, die für Bösewichte leicht zu erraten sind, sind schwer für legitime Benutzer zu erraten.”(Https: // spycloud.com/neu-nist-guidelines). Dies impliziert, dass die Kunst, die sichersten Passwörter auszuwählen, eine Reihe menschlicher und psychologischer Faktoren beinhaltet. NIST hat das Cybersicherheits -Framework (CSF) entwickelt, um Sicherheitsrisiken effektiver zu verwalten und zu überwinden.

NIST Cybersecurity Framework

Der Cybersicherheitsrahmen des NIST -Rahmens von NIST ist auch als „kritische Infrastruktur Cybersicherheit“ bekannt, in der Regeln angegeben sind, in der angegeben ist, wie Unternehmen Cyberkriminelle unter Kontrolle halten können. Der CSF von NIST besteht aus drei Hauptkomponenten:

  • Kern: Führt Unternehmen dazu, ihr Cybersicherheitsrisiko zu verwalten und zu verringern.
  • Implementierungsebene: Hilft Unternehmen, indem sie Informationen über die Perspektive des Unternehmens auf das Risikomanagement von Cybersicherheit bereitstellen.
  • Profil: Die einzigartige Struktur der Organisation der Anforderungen, Ziele und Ressourcen.

Empfehlungen

Im Folgenden werden Vorschläge und Empfehlungen von NIST in der jüngsten Überarbeitung der Passwortrichtlinien zur Verfügung gestellt.

  • Charaktere Länge: Organisationen können ein Kennwort mit einer Mindestcharakterlänge von 8 auswählen, es wird jedoch von NIST sehr empfohlen, ein Kennwort von bis zu maximal 64 Zeichen festzulegen.
  • Verhinderung des unbefugten Zugangs: In dem Fall, dass eine nicht autorisierte Person versucht hat, sich bei Ihrem Konto anzumelden, wird empfohlen, das Passwort zu überarbeiten, wenn versucht wird, das Passwort zu stehlen.
  • Kompromittiert: Wenn kleine Organisationen oder einfache Benutzer auf ein gestohlenes Passwort stoßen, ändern sie normalerweise das Passwort und vergessen, was passiert ist. NIST schlägt vor, all die Passwörter aufzulisten, die für die gegenwärtige und zukünftige Verwendung gestohlen werden.
  • Hinweise: Ignorieren Sie Hinweise und Sicherheitsfragen, während Sie Passwörter auswählen.
  • Authentifizierungsversuche: NIST empfiehlt dringend, die Anzahl der Authentifizierungsversuche im Falle eines Versagens einzuschränken. Die Anzahl der Versuche ist begrenzt und es wäre für Hacker unmöglich, mehrere Kombinationen von Passwörtern für die Anmeldung auszuprobieren.
  • Kopieren und Einfügen: NIST empfiehlt, Paste -Einrichtungen im Feld Kennwort für die einfache Manager zu verwenden. Entgegen dies wurde in früheren Richtlinien diese Paste -Einrichtung nicht empfohlen. Kennwortmanager verwenden diese Einspeisanlage, wenn es darum geht, ein einzelnes Master -Passwort zu verwenden, um verfügbare Passwörter einzudringen.
  • Kompositionsregeln: Die Zusammensetzung von Zeichen kann durch den Endbenutzer zu Unzufriedenheit führen. Daher wird empfohlen, diese Komposition zu überspringen. NIST kam zu dem Schluss, dass der Benutzer normalerweise einen Mangel an Interesse an der Einrichtung eines Kennworts mit der Zusammensetzung von Zeichen zeigt, was ihr Passwort zuschwächt. Wenn der Benutzer beispielsweise sein Passwort als "Timeline" festlegt, akzeptiert das System es nicht und bittet den Benutzer, eine Kombination aus Groß- und Kleinbuchstaben zu verwenden. Danach muss der Benutzer das Kennwort ändern, indem sie die Regeln des im Systems festgelegten Compositing -Sets befolgen. Daher schlägt NIST vor, diese Kompositionsanforderung auszuschließen, da Organisationen möglicherweise ungünstig auf die Sicherheit ausgewiesen werden.
  • Verwendung von Zeichen: Normalerweise werden Passwörter, die Leerzeichen enthalten. NIST empfiehlt die Verwendung der Kombination, die der Benutzer will, was bei Bedarf leichter auswendig gelernt und zurückgerufen werden kann.
  • Passwortänderung: Häufige Änderungen der Passwörter werden meist in organisatorischen Sicherheitsprotokollen oder für jede Art von Kennwort empfohlen. Die meisten Benutzer wählen ein einfaches und maßgeschneidertes Passwort, das in naher Zukunft geändert werden soll, um den Sicherheitsrichtlinien von Organisationen zu befolgen. NIST empfiehlt, das Kennwort nicht häufig zu ändern und ein Passwort auszuwählen, das komplex genug ist, damit es lange ausgeführt werden kann, um den Benutzer und die Sicherheitsanforderungen zu erfüllen.

Was ist, wenn das Passwort kompromittiert wird??

Die Lieblingsaufgabe der Hacker besteht darin, Sicherheitsbarrieren zu verstoßen. Zu diesem Zweck arbeiten sie daran, innovative Möglichkeiten zu entdecken, die Sie durchlaufen können. Sicherheitsverletzungen haben unzählige Kombinationen von Benutzernamen und Passwörtern, um jede Sicherheitsbarriere zu brechen. Die meisten Organisationen haben außerdem eine Liste von Passwörtern, die Hackern zugänglich sind. Daher blockieren sie jede Kennwortauswahl aus dem Pool der Passwortlisten, auf die auch Hacker zugegriffen werden können. Wenn eine Organisation nicht auf die Passwortliste zugreifen kann, hat NIST einige Richtlinien bereitgestellt, die eine Kennwortliste enthalten kann:

  • Eine Liste der Kennwörter, die zuvor verletzt wurden.
  • Einfache aus dem Wörterbuch ausgewählte Wörter (e).G., "enthalten", akzeptiert, usw.)
  • Kennwortzeichen, die Wiederholung, Serie oder eine einfache Serie enthalten (e.G. 'CCCC, Abcdef' oder 'A1B2C3').

Warum die NIST -Richtlinien befolgen?

Die von NIST bereitgestellten Richtlinien behalten die wichtigsten Sicherheitsbedrohungen im Zusammenhang mit Passwort -Hacks für viele verschiedene Arten von Organisationen fest. Das Gute ist, dass NIST ihre Richtlinien für Passwörter überarbeiten kann, wenn sie einen Verletzungen gegen die von Hackern verursachte Sicherheitsbarriere beobachten, wie sie es seit 2017 tun. Andererseits andere Sicherheitsstandards (e).G., Hitrust, HIPAA, PCI) aktualisieren oder überarbeiten Sie nicht die grundlegenden anfänglichen Richtlinien, die sie bereitgestellt haben.

html
So fügen Sie Videos auf einer Webseite mit HTML hinzu und spielen Sie Videos ab?
Das Video kann hinzugefügt und mit Hilfe des -Tags, das darin enthält, oder mit dem Tag oder verwen...
Jean Dengler
JavaScript
So überprüfen Sie die TypeScript -Version
Verwenden Sie die Befehle TSC -v oder die Befehle TSC --version auf der Eingabeaufforderung oder dem...
Kaya Wyludda
Golang
Wie man Zeit nutzt.Schlaffunktion in Golang
Die Zeit.Sleep () -Funktion wird häufig zum Erstellen von Verzögerungen zwischen Operationen oder fü...
Frederik Rodehau
Python
Pandas Group von Quantile
Frederik Rodehau
PostgreSQL
So kopieren Sie eine Tabelle von einer Datenbank in eine andere in PostgreSQL
Hussein Burkhard
R
So erstellen Sie einen leeren Datenrahmen r
Mohamed Flore
Sqlite
So verwenden Sie SQLite Viewer Web App
Hussein Burkhard
Zwangsversteigerung
Salesforce Apex - Liste
Mohamed Flore
AWS
Was ist AWS -Steuerturm und wie man ihn benutzt??
Gian Eisenlauer
AWS
Was ist AWS GuardDuty und warum es verwendet wird??
Jessica Schimmer
Golang
Was sind Datentypen in Golang?
Mohamed Flore
Power Shell
So verwenden Sie Vergleichsbetreiber in PowerShell?
Gian Eisenlauer
Oracle Linux
Was ist der Unterschied zwischen Oracle VirtualBox und VMware?
Mohamed Flore