Il National Institute of Standards and Technology (NIST) definisce i parametri di sicurezza per le istituzioni governative. NIST assiste le organizzazioni per necessità amministrative coerenti. Negli ultimi anni, il NIST ha rivisto le linee guida per la password. Gli attacchi di acquisizione dell'account (ATO) sono diventati un'attività gratificante per i criminali informatici. Uno dei membri del top management di NIST ha espresso le sue opinioni sulle linee guida tradizionali, in un'intervista “Produrre password che sono facili da indovinare per i cattivi sono difficili da indovinare per gli utenti legittimi."(Https: // spycloud.com/new-nist-guidelines). Ciò implica che l'arte di scegliere le password più sicure coinvolge una serie di fattori umani e psicologici. NIST ha sviluppato il framework di sicurezza informatica (CSF) per gestire e superare i rischi per la sicurezza in modo più efficace.
Framework Nist Cybersecurity
Conosciuto anche come "infrastruttura critica della sicurezza informatica", il quadro della sicurezza informatica del NIST presenta un'ampia disposizione di regole che specificano come le organizzazioni possono tenere sotto controllo i criminali informatici. Il CSF di NIST comprende tre componenti principali:
- Nucleo: Conduce le organizzazioni a gestire e ridurre il rischio di sicurezza informatica.
- Livello di implementazione: Aiuta le organizzazioni fornendo informazioni sulla prospettiva dell'organizzazione sulla gestione dei rischi della sicurezza informatica.
- Profilo: Struttura unica dell'organizzazione dei suoi requisiti, obiettivi e risorse.
Raccomandazioni
I seguenti includono suggerimenti e raccomandazioni fornite da NIST nella loro recente revisione delle linee guida per la password.
- Lunghezza dei personaggi: Le organizzazioni possono scegliere una password di una lunghezza minima del carattere di 8, ma è consigliabile da NIST per impostare una password fino a un massimo di 64 caratteri.
- Prevenire l'accesso non autorizzato: Nel caso in cui una persona non autorizzata abbia tentato di accedere al tuo account, si consiglia di rivedere la password in caso di tentativo di rubare la password.
- Compromesso: Quando piccole organizzazioni o utenti semplici incontrano una password rubata, di solito cambiano la password e dimenticano cosa è successo. NIST suggerisce di elencare tutte quelle password che vengono rubate per uso presente e futuro.
- Suggerimenti: Ignora suggerimenti e domande di sicurezza durante la scelta delle password.
- Tentativi di autenticazione: NIST raccomanda vivamente di limitare il numero di tentativi di autenticazione in caso di fallimento. Il numero di tentativi è limitato e sarebbe impossibile per gli hacker provare più combinazioni di password per l'accesso.
- Copia e incolla: NIST consiglia di utilizzare le strutture in pasta nel campo della password per la facilità dei manager. Contrariamente a quello, nelle precedenti linee guida, questa struttura di pasta non è stata raccomandata. I gestori della password utilizzano questa funzione di pasta quando si tratta di utilizzare una singola password principale per ingredere password disponibili.
- Regole di composizione: La composizione di personaggi potrebbe comportare insoddisfazione da parte dell'utente finale, quindi si consiglia di saltare questa composizione. NIST ha concluso che l'utente di solito mostra una mancanza di interesse nella creazione di una password con la composizione di caratteri, il che di conseguenza indebolisce la password. Ad esempio, se l'utente imposta la password come "sequenza temporale", il sistema non la accetta e chiede all'utente di utilizzare una combinazione di caratteri maiuscoli e minuscoli. Successivamente, l'utente deve modificare la password seguendo le regole del set di compositi nel sistema. Pertanto, il NIST suggerisce di escludere questo requisito di composizione, poiché le organizzazioni possono affrontare un effetto sfavorevole sulla sicurezza.
- Uso dei personaggi: Di solito, le password contenenti spazi vengono rifiutate perché lo spazio viene conteggiato e l'utente dimentica i caratteri dello spazio, rendendo difficile la memorizzazione della password. NIST consiglia di utilizzare qualsiasi combinazione che l'utente desidera, che può essere più facilmente memorizzata e richiamata ogni volta che è necessario.
- Cambio di password: Le frequenti modifiche alle password sono principalmente raccomandate nei protocolli di sicurezza organizzativa o per qualsiasi tipo di password. La maggior parte degli utenti sceglie una password facile e memorizzabile da modificare nel prossimo futuro per seguire le linee guida di sicurezza delle organizzazioni. NIST consiglia di non modificare frequentemente la password e di scegliere una password abbastanza complessa in modo che possa essere eseguita a lungo per soddisfare l'utente e i requisiti di sicurezza.
Cosa succede se la password è compromessa?
Il lavoro preferito degli hacker è violare le barriere di sicurezza. A tale scopo, lavorano per scoprire possibilità innovative da passare. Le violazioni della sicurezza hanno innumerevoli combinazioni di nomi utente e password per rompere qualsiasi barriera di sicurezza. La maggior parte delle organizzazioni ha anche un elenco di password accessibili agli hacker, quindi bloccano qualsiasi selezione di password dal pool di elenchi di password, che è anche accessibile agli hacker. Tenendo visualizzato la stessa preoccupazione, se qualsiasi organizzazione non è in grado di accedere all'elenco delle password, NIST ha fornito alcune linee guida che un elenco di password può contenere:
- Un elenco di quelle password che sono state violate in precedenza.
- Parole semplici selezionate dal dizionario (e.G., "Contengono" accettato ", ecc.)
- Caratteri password che contengono ripetizione, serie o una serie semplice (E.G. 'CCCC, "ABCDEF", o' A1B2C3 ').
Perché seguire le linee guida NIST?
Le linee guida fornite da NIST mantengono in vista le principali minacce alla sicurezza relative agli hack di password per molti diversi tipi di organizzazioni. La cosa buona è che, se osservano qualsiasi violazione della barriera di sicurezza causata dagli hacker, il NIST può rivedere le loro linee guida per le password, come fanno dal 2017. D'altra parte, altri standard di sicurezza (E.G., Hitrust, HIPAA, PCI) non aggiornare o rivedere le linee guida iniziali di base che hanno fornito.