NIST-salasanaohjeet

National Institute of Standards and Technology (NIST) määrittelee valtion laitosten turvallisuusparametrit. NIST auttaa organisaatioita johdonmukaisissa hallinnollisissa tarpeissa. Viime vuosina NIST on tarkistanut salasanaohjeet. ATO-hyökkäyksistä on tullut palkitseva liiketoiminta tietoverkkorikollisille. Yksi NISTin ylimmän johdon jäsenistä ilmaisi näkemyksensä perinteisistä ohjeista. Haastattelussa "sellaisten salasanojen tuottaminen, jotka on helppo arvata pahiksille, on vaikea arvata laillisille käyttäjille.”(Https: // spycloud.com / new-nist-Guidelines). Tämä tarkoittaa, että turvallisimpien salasanojen valitsemisessa on mukana useita inhimillisiä ja psykologisia tekijöitä. NIST on kehittänyt kyberturvallisuuskehyksen (CSF) hallitsemaan ja voittamaan turvallisuusriskejä tehokkaammin.

NIST-kyberturvallisuuskehys

NIST: n kyberturvallisuuskehys, joka tunnetaan myös nimellä "elintärkeiden infrastruktuurien kyberturvallisuus", tarjoaa laajan sääntöjärjestelyn, jossa määritetään, miten organisaatiot voivat pitää kyberrikolliset kurissa. NIST: n CSF koostuu kolmesta pääkomponentista:

• Ydin: Ohjaa organisaatioita hallitsemaan ja vähentämään kyberturvallisuusriskiään.
• Toteutustaso: Auttaa organisaatioita tarjoamalla tietoa organisaation näkökulmasta kyberturvallisuuden riskinhallinnassa.
• Profiili: Organisaation ainutlaatuinen rakenne vaatimuksistaan, tavoitteistaan ​​ja resursseistaan.

Suositukset

Seuraavassa on ehdotuksia ja suosituksia, jotka NIST on antanut äskettäin päivitetyssä salasanaohjeissaan.

• Merkkien pituus: Organisaatiot voivat valita salasanan, jonka merkkien pituus on vähintään 8, mutta NIST suosittelee asettamaan enintään 64 merkin salasanan.
• Luvattoman käytön estäminen: Jos luvaton henkilö on yrittänyt kirjautua tilillesi, on suositeltavaa tarkistaa salasana, jos yrität varastaa salasanan.
• Vaarantunut: Kun pienet organisaatiot tai yksinkertaiset käyttäjät kohtaavat varastetun salasanan, he yleensä vaihtavat salasanan ja unohtavat mitä tapahtui. NIST ehdottaa, että luetellaan kaikki salasanat, jotka varastetaan nykyistä ja tulevaa käyttöä varten.
• Vihjeitä: Ohita salasanoja valittaessa vihjeet ja turvakysymykset.
• Todennusyritykset: NIST suosittelee vahvasti todennusyritysten määrän rajoittamista epäonnistumisen yhteydessä. Yritysten määrä on rajallinen, ja hakkereiden olisi mahdotonta kokeilla useita salasanayhdistelmiä sisäänkirjautumista varten.
• Kopioi ja liitä: NIST suosittelee, että salasanakentässä käytetään liittämistoimintoja johtajien helpottamiseksi. Päinvastoin kuin aikaisemmissa ohjeissa, tätä tahnaa ei suositeltu. Salasanapäälliköt käyttävät tätä liittämistoimintoa, kun on kyse yhden pääsalasanan käyttämisestä käytettävissä olevien salasanojen saamiseksi.
• Koostumussäännöt: Hahmojen kokoonpano saattaa johtaa loppukäyttäjän tyytymättömyyteen, joten on suositeltavaa ohittaa tämä koostumus. NIST totesi, että käyttäjä ei yleensä ole kiinnostunut salasanan asettamisesta merkkikoostumuksella, mikä heikentää salasanaa. Esimerkiksi, jos käyttäjä asettaa salasanansa "aikajanaksi", järjestelmä ei hyväksy sitä ja pyytää käyttäjää käyttämään isojen ja pienten merkkien yhdistelmää. Tämän jälkeen käyttäjän on vaihdettava salasana noudattamalla järjestelmässä asetetun koostamisen sääntöjä. Siksi NIST ehdottaa tämän kokoonpanovaatimuksen sulkemista pois, koska organisaatioilla voi olla haitallinen vaikutus turvallisuuteen.
• Merkkien käyttö: Tavallisesti välilyöntejä sisältävät salasanat hylätään, koska tilaa lasketaan, ja käyttäjä unohtaa välilyönnit, mikä vaikeuttaa salasanan muistamista. NIST suosittelee käyttämään mitä tahansa yhdistelmää, jonka käyttäjä haluaa, joka on helpompi muistaa ja muistaa tarvittaessa.
• Salasanan vaihto: Useita salasanojen muutoksia suositellaan enimmäkseen organisaation suojausprotokollissa tai minkä tahansa tyyppisissä salasanoissa. Useimmat käyttäjät valitsevat helpon ja muistiinpantavan salasanan, joka vaihdetaan lähitulevaisuudessa organisaatioiden turvallisuusohjeiden mukaisesti. NIST suosittelee, ettei salasanaa vaihdeta usein ja valitse riittävän monimutkainen salasana, jotta sitä voidaan käyttää pitkään käyttäjän ja turvallisuusvaatimusten tyydyttämiseksi.

Entä jos salasana on vaarantunut?

Hakkerien suosikkitehtävä on rikkoa turvallisuusesteitä. Tätä tarkoitusta varten he pyrkivät löytämään innovatiivisia mahdollisuuksia kulkea läpi. Tietoturvaloukkauksissa on lukemattomia käyttäjänimien ja salasanojen yhdistelmiä murtamaan mahdolliset suojausesteet. Useimmilla organisaatioilla on myös hakkereiden käytettävissä oleva salasanaluettelo, joten ne estävät kaikki salasanavalinnat salasanaluetteloista, joihin myös hakkerit pääsevät. Saman huolen vuoksi NIST on antanut joitain ohjeita, joita salasanaluettelo voi sisältää:

• Luettelo niistä salasanoista, joita on aiemmin rikottu.
• Sanakirjasta valitut yksinkertaiset sanat (esim.g., "sisältää", "hyväksytty" jne.)
• Salasanamerkit, jotka sisältävät toistoa, sarjoja tai yksinkertaisen sarjan (esim.g. (cccc, "abcdef" tai "a1b2c3").

Miksi noudattaa NIST-ohjeita?

NIST: n tarjoamat ohjeet pitävät tärkeimpien salasanahakemusten aiheuttamat turvallisuusuhat monissa erilaisissa organisaatioissa. Hyvä asia on, että jos he havaitsevat hakkereiden aiheuttamia turvallisuusesteitä, NIST voi tarkistaa salasanoja koskevat ohjeet, kuten he ovat tehneet vuodesta 2017 lähtien. Toisaalta muut turvallisuusstandardit (esim.g., HITRUST, HIPAA, PCI) eivät päivitä tai tarkista antamiaan alkuperäisiä perusohjeita.