Смернице за НИСТ лозинку

Национални институт за стандарде и технологију (НИСТ) дефинише сигурносне параметре за владине институције. НИСТ помаже организацијама у доследним административним потребама. Последњих година НИСТ је ревидирао смернице за лозинке. Напади на преузимање рачуна (АТО) постали су користан посао за сајбер криминалце. Један од чланова највишег руководства НИСТ-а изразио је своје ставове о традиционалним смерницама, у интервјуу „стварање лозинки које је лако погодити за лоше момке тешко је погодити за легитимне кориснике.”(Хттпс: // спицлоуд.цом / нове-нист-смернице). То подразумева да уметност бирања најсигурнијих лозинки укључује бројне људске и психолошке факторе. НИСТ је развио Оквир за сајбер безбедност (ЦСБ) за ефикасније управљање и превазилажење безбедносних ризика.

НИСТ Оквир за циберсецурити

Такође познат као „Кибер-безбедност критичне инфраструктуре“, оквир за кибер-безбедност НИСТ-а представља широки аранжман правила која прецизирају како организације могу да држе цибер-криминалце под контролом. ЦСФ НИСТ-а састоји се од три главне компоненте:

• Језгро: Води организације да управљају и смање ризик од кибернетичке сигурности.
• Ниво имплементације: Помаже организацијама пружањем информација у вези са перспективом организације о управљању ризицима од цибер сигурности.
• Профил: Јединствена структура организационих захтева, циљева и ресурса.

Препоруке

Следеће укључују предлоге и препоруке које је пружио НИСТ у недавној ревизији смерница за лозинке.

• Дужина карактера: Организације могу да одаберу лозинку минималне дужине од 8 знакова, али НИСТ препоручује да лозинку подесите на највише 64 знака.
• Спречавање неовлашћеног приступа: У случају да је неовлашћена особа покушала да се пријави на ваш налог, препоручује се ревизија лозинке у случају покушаја крађе лозинке.
• Компромитовано: Када се мале организације или једноставни корисници сусретну са украденом лозинком, обично је промене и забораве шта се догодило. НИСТ предлаже да наведете све оне лозинке које су украдене за садашњу и будућу употребу.
• Савети: Занемарујте савете и безбедносна питања приликом избора лозинки.
• Покушаји аутентификације: НИСТ топло препоручује ограничавање броја покушаја потврде идентитета у случају неуспеха. Број покушаја је ограничен и хакерима би било немогуће испробати више комбинација лозинки за пријаву.
• Копирање и лепљење: НИСТ препоручује употребу функција лепљења у пољу лозинке ради лакшег управљања. Супротно томе, у претходним смерницама се ова пасте није препоручивала. Менаџери лозинки користе ову могућност лепљења када је у питању коришћење једне главне лозинке за улазак у доступне лозинке.
• Правила композиције: Састав знакова може довести до незадовољства крајњег корисника, па је препоручљиво прескочити овај састав. НИСТ је закључио да корисник обично показује незаинтересованост за постављање лозинке са саставом знакова, што резултира слабљењем њихове лозинке. На пример, ако корисник постави лозинку као „временску линију“, систем је не прихвата и тражи од корисника да користи комбинацију великих и малих слова. Након тога, корисник мора променити лозинку поштујући правила састављања постављених у систему. Због тога НИСТ предлаже да се искључи овај захтев за састављањем, јер се организације могу суочити са неповољним ефектом на безбедност.
• Употреба знакова: Лозинке које садрже размаке обично се одбијају јер се простор броји, а корисник заборавља размаке, чинећи лозинку тешком за памћење. НИСТ препоручује употребу било које комбинације коју корисник жели, а која се може лакше запамтити и опозвати кад год је то потребно.
• Промена лозинке: Честе промене лозинки углавном се препоручују у организационим безбедносним протоколима или за било коју врсту лозинке. Већина корисника бира лаку и памтљиву лозинку коју ће у блиској будућности променити у складу са безбедносним смерницама организација. НИСТ препоручује да лозинку не мењате често и да одаберете лозинку која је довољно сложена да би се могла дуго користити како би задовољила потребе корисника и безбедносне захтеве.

Шта ако је лозинка угрожена?

Омиљени посао хакера је кршење сигурносних баријера. У ту сврху раде на откривању иновативних могућности за пролазак. Безбедносне повреде садрже безброј комбинација корисничких имена и лозинки за пробијање било које сигурносне баријере. Већина организација такође има листу лозинки доступних хакерима, па блокирају било који избор лозинке из скупа листа лозинки, који је такође доступан хакерима. Имајући у виду исту забринутост, ако било која организација не може да приступи листи лозинки, НИСТ је пружио неке смернице које листа лозинки може да садржи:

• Списак оних лозинки које су претходно прекршене.
• Једноставне речи изабране из речника (нпр.г., 'садрже, "прихваћено" итд.)
• Знакови лозинке који садрже понављање, низ или једноставну серију (нпр.г. 'цццц, "абцдеф или" а1б2ц3').

Зашто следити НИСТ смернице?

Смернице које пружа НИСТ имају у виду главне безбедносне претње повезане са хаковањем лозинки за многе различите врсте организација. Добра ствар је што, уколико примете било какво кршење сигурносне баријере коју су проузроковали хакери, НИСТ може да ревидира своје смернице за лозинке, као што то чине од 2017. године. С друге стране, други сигурносни стандарди (нпр.г., ХИТРУСТ, ХИПАА, ПЦИ) не ажурирају или ревидирају основне почетне смернице које су дали.