Retningslinjer for NIST-adgangskode

National Institute of Standards and Technology (NIST) definerer sikkerhedsparametre for offentlige institutioner. NIST hjælper organisationer med ensartede administrative behov. I de senere år har NIST revideret retningslinjerne for adgangskode. ATO-angreb (Account Takeover) er blevet en givende forretning for cyberkriminelle. Et af medlemmerne af NISTs øverste ledelse gav udtryk for sine synspunkter om traditionelle retningslinjer, i et interview “at producere adgangskoder, der er lette at gætte for skurkene, er svære at gætte for legitime brugere.”(Https: // spycloud.com / new-nist-guidelines). Dette indebærer, at kunsten at vælge de mest sikre adgangskoder involverer en række menneskelige og psykologiske faktorer. NIST har udviklet Cybersecurity Framework (CSF) til at styre og overvinde sikkerhedsrisici mere effektivt.

NIST Cybersecurity Framework

Også kendt som "kritisk infrastruktur cybersikkerhed", præsenterer NIST's cybersikkerhedsramme et bredt arrangement af regler, der specificerer, hvordan organisationer kan holde cyberkriminelle under kontrol. NISF's CSF består af tre hovedkomponenter:

• Kerne: Fører organisationer til at styre og reducere deres cybersikkerhedsrisiko.
• Implementeringstrin: Hjælper organisationer ved at give information om organisationens perspektiv på risikostyring af cybersikkerhed.
• Profil: Organisationens unikke struktur af dens krav, mål og ressourcer.

Anbefalinger

Følgende inkluderer forslag og anbefalinger fra NIST i deres nylige revision af retningslinjer for adgangskoder.

• Tegnlængde: Organisationer kan vælge en adgangskode på mindst 8 tegn, men det anbefales stærkt af NIST at indstille en adgangskode på op til maksimalt 64 tegn.
• Forebyggelse af uautoriseret adgang: I tilfælde af at en uautoriseret person har forsøgt at logge ind på din konto, anbefales det at revidere adgangskoden i tilfælde af et forsøg på at stjæle adgangskoden.
• Kompromitteret: Når små organisationer eller enkle brugere støder på en stjålet adgangskode, ændrer de normalt adgangskoden og glemmer hvad der skete. NIST foreslår at liste ned alle de adgangskoder, der stjæles til nuværende og fremtidig brug.
• Tips: Ignorer tip og sikkerhedsspørgsmål, mens du vælger adgangskoder.
• Autentificeringsforsøg: NIST anbefaler på det kraftigste at begrænse antallet af godkendelsesforsøg i tilfælde af fejl. Antallet af forsøg er begrænset, og det ville være umuligt for hackere at prøve flere kombinationer af adgangskoder til login.
• Kopiere og indsætte: NIST anbefaler at bruge indsætningsfaciliteter i adgangskodefeltet for at gøre det nemmere for ledere. I modsætning til det blev denne pasta ikke anbefalet i tidligere retningslinjer. Adgangskodeadministratorer bruger denne indsætningsfacilitet, når det kommer til at bruge en enkelt hovedadgangskode til at få adgang til adgangskoder.
• Sammensætningsregler: Sammensætning af tegn kan resultere i utilfredshed hos slutbrugeren, så det anbefales at springe denne komposition over. NIST konkluderede, at brugeren normalt viser manglende interesse i at oprette en adgangskode med sammensætning af tegn, hvilket resulterer i en svækkelse af deres adgangskode. For eksempel, hvis brugeren indstiller deres adgangskode som 'tidslinje', accepterer systemet det ikke og beder brugeren om at bruge en kombination af store og små bogstaver. Derefter skal brugeren ændre adgangskoden ved at følge reglerne for det sammensatte sæt i systemet. Derfor foreslår NIST at udelukke dette krav om sammensætning, da organisationer kan have en ugunstig indvirkning på sikkerheden.
• Brug af tegn: Normalt afvises adgangskoder, der indeholder mellemrum, fordi plads tælles, og brugeren glemmer mellemrumstegnene, hvilket gør adgangskoden svært at huske. NIST anbefaler, at du bruger den kombination, brugeren ønsker, som lettere kan huskes og tilbagekaldes, når det er nødvendigt.
• Adgangskodeændring: Hyppige ændringer i adgangskoder anbefales for det meste i organisatoriske sikkerhedsprotokoller eller til enhver form for adgangskode. De fleste brugere vælger en let og memoizable adgangskode, der skal ændres i den nærmeste fremtid for at følge organisationernes sikkerhedsretningslinjer. NIST anbefaler, at du ikke ændrer adgangskoden ofte og vælger en adgangskode, der er kompleks nok, så den kan køres i lang tid for at tilfredsstille brugeren og sikkerhedskravene.

Hvad hvis adgangskoden er kompromitteret?

Hackers foretrukne job er at bryde sikkerhedsbarrierer. Til dette formål arbejder de for at opdage innovative muligheder for at passere igennem. Sikkerhedsbrud har utallige kombinationer af brugernavne og adgangskoder for at bryde enhver sikkerhedsbarriere. De fleste organisationer har også en liste over adgangskoder, der er tilgængelige for hackere, så de blokerer ethvert adgangskodevalg fra puljen med adgangskodelister, som også er tilgængelige for hackere. Med tanke på den samme bekymring har NIST leveret nogle retningslinjer, hvis en organisation ikke kan få adgang til adgangskodelisten, som en adgangskodeliste kan indeholde:

• En liste over de adgangskoder, der tidligere er blevet brudt.
• Enkle ord valgt fra ordbogen (e.g., 'indeholder, "accepteret" osv.)
• Adgangskodetegn, der indeholder gentagelse, serier eller en simpel serie (f.eks.g. 'cccc, "abcdef' eller 'a1b2c3').

Hvorfor følge NIST-retningslinjerne?

Retningslinjerne fra NIST holder øje med de vigtigste sikkerhedstrusler relateret til adgangskodeshacks for mange forskellige slags organisationer. Det gode er, at hvis de observerer en overtrædelse af sikkerhedsbarrieren forårsaget af hackere, kan NIST revidere deres retningslinjer for adgangskoder, som de har gjort siden 2017. På den anden side andre sikkerhedsstandarder (f.eks.g., HITRUST, HIPAA, PCI) opdaterer eller reviderer ikke de grundlæggende oprindelige retningslinjer, de har givet.