NIST-i paroolijuhised

Riiklik standardite ja tehnoloogia instituut (NIST) määratleb valitsusasutuste turvanäitajad. NIST abistab organisatsioone järjekindlate haldusvajaduste lahendamisel. Viimastel aastatel on NIST paroolijuhised üle vaadanud. Konto ülevõtmise (ATO) rünnakutest on saanud küberkurjategijate jaoks tasuv äri. Üks NIST-i kõrgema juhtkonna liikmetest avaldas oma arvamust traditsiooniliste juhiste kohta, intervjuus „pahalaste jaoks hõlpsasti ära arvatavate paroolide loomine on seaduslike kasutajate jaoks raske ära arvata.”(Https: // spycloud.com / new-nist-suunised). See tähendab, et kõige turvalisemate paroolide valimise kunst hõlmab paljusid inimlikke ja psühholoogilisi tegureid. NIST on välja töötanud küberturvalisuse raamistiku (CSF), et turvariske tõhusamalt hallata ja ületada.

NIST küberturvalisuse raamistik

NIST-i küberturvalisuse raamistik, mida tuntakse ka kui „elutähtsa infrastruktuuri küberturvalisust“, pakub laialdast reeglistikku, milles täpsustatakse, kuidas organisatsioonid saavad küberkurjategijaid kontrolli all hoida. NIST CSF koosneb kolmest põhikomponendist:

• Tuum: Suunab organisatsioone oma küberturvalisuse riski juhtimiseks ja vähendamiseks.
• Rakendustasand: Aitab organisatsioone, pakkudes teavet organisatsiooni perspektiivi kohta küberturvalisuse riskijuhtimisel.
• Profiil: Organisatsiooni ainulaadne ülesannete, eesmärkide ja ressursside struktuur.

Soovitused

Järgnevad sisaldavad NISTi hiljutises paroolijuhiste ülevaatuses esitatud ettepanekuid ja soovitusi.

• Tähemärkide pikkus: Organisatsioonid saavad valida parooli minimaalse tähemärgipikkusega 8, kuid NIST soovitab tungivalt määrata maksimaalselt 64 tähemärgise parooli.
• Volitamata juurdepääsu tõkestamine: Kui volitamata isik on proovinud teie kontole sisse logida, on parooli varastamise katse korral soovitatav parool üle vaadata.
• Ohustatud: Kui väikesed organisatsioonid või lihtsad kasutajad leiavad varastatud parooli, muudavad nad tavaliselt parooli ja unustavad juhtunu. NIST soovitab loetleda kõik need paroolid, mis on varastatud praeguseks ja tulevaseks kasutamiseks.
• Vihjed: Paroolide valimisel eirake vihjeid ja turvaküsimusi.
• Autentimiskatsed: NIST soovitab tungivalt tõkestamise korral piirata autentimiskatsete arvu. Katsete arv on piiratud ja häkkeritel oleks võimatu sisselogimiseks proovida mitut paroolikombinatsiooni.
• Kopeeri ja kleebi: NIST soovitab haldurite hõlbustamiseks parooliväljal kasutada kleepimisvõimalusi. Vastupidiselt sellele ei olnud eelmistes juhistes seda kleepimisvõimalust soovitatav. Paroolihaldurid kasutavad seda kleepimisvõimalust olemasolevate paroolide sissetungimiseks ühe põhiparooli kasutamisel.
• Kompositsioonireeglid: Tähemärkide kompositsioon võib lõppkasutajaga rahulolematust põhjustada, seetõttu on soovitatav see kompositsioon vahele jätta. NIST jõudis järeldusele, et kasutaja näitab tavaliselt huvi puudumist tähemärkidega parooli seadistamise vastu, mis nõrgendab nende parooli. Näiteks kui kasutaja määrab oma parooli ajaskaalaks, ei aktsepteeri süsteem seda ja palub kasutajal kasutada suurtähtede ja väiketähtede kombinatsiooni. Pärast seda peab kasutaja parooli muutma, järgides süsteemis seatud koostamise reegleid. Seetõttu soovitab NIST selle koosseisunõude välistada, kuna organisatsioonidel võib olla julgeolekule ebasoodne mõju.
• Tähemärkide kasutamine: Tavaliselt lükatakse tühikuid sisaldavad paroolid tagasi, kuna ruumi loendatakse, ja kasutaja unustab tühiku (d), muutes parooli raskesti meelde. NIST soovitab kasutada mis tahes kombinatsiooni, mida kasutaja soovib, mida saab vajadusel hõlpsamini meelde jätta ja meelde tuletada.
• Parooli muutmine: Paroolide sagedasi muutmisi soovitatakse enamasti organisatsiooni turbeprotokollides või mis tahes paroolide jaoks. Enamik kasutajaid valib lihtsa ja meeldejääva parooli, mida lähitulevikus muuta, et järgida organisatsioonide turvasuuniseid. NIST soovitab parooli mitte sageli muuta ja valida parool, mis on piisavalt keeruline, et seda saaks kasutaja ja turvanõuete rahuldamiseks pikka aega kasutada.

Mis siis, kui parool on rikutud?

Häkkerite lemmiktöö on turvatõkete ületamine. Sel eesmärgil püüavad nad leida uuenduslikke võimalusi läbida. Turvarikkumistel on lugematu arv kasutajanimede ja paroolide kombinatsioone mis tahes turvatõkke murdmiseks. Enamikul organisatsioonidel on ka häkkeritele ligipääsetavate paroolide loend, nii et nad blokeerivad paroolide valiku parooliloendite kogumist, kuhu pääsevad juurde ka häkkerid. Sama muret silmas pidades, kui mõni organisatsioon ei pääse parooliloendisse juurde, on NIST andnud mõned juhised, mida parooliloend võib sisaldada:

• Paroolide loetelu, mida on varem rikutud.
• Sõnastikust valitud lihtsad sõnad (nt.g., 'sisaldavad', 'aktsepteeritud' jne.)
• Paroolimärgid, mis sisaldavad kordust, seeriat või lihtsat seeriat (nt.g. (cccc, "abcdef" või "a1b2c3").

Miks järgida NIST-i juhiseid?

NIST-i pakutavad juhised peavad silmas peamisi parooli häkkimisega seotud peamisi turvaohte paljudele erinevatele organisatsioonidele. Hea on see, et kui nad täheldavad häkkerite turvatõkete rikkumist, saab NIST oma paroolide juhiseid läbi vaadata, nagu nad on seda teinud alates 2017. aastast. Teisest küljest muud turvastandardid (nt.g., HITRUST, HIPAA, PCI) ei ajakohasta ega redigeeri nende esitatud esmaseid põhijuhiseid.