Garis Panduan Kata Laluan NIST

Institut Piawaian dan Teknologi Nasional (NIST) menentukan parameter keselamatan untuk Institusi Kerajaan. NIST membantu organisasi untuk keperluan pentadbiran yang konsisten. Dalam beberapa tahun kebelakangan ini, NIST telah menyemak semula garis panduan kata laluan. Serangan Pengambilalihan Akaun (ATO) telah menjadi perniagaan yang bermanfaat bagi penjenayah siber. Salah seorang anggota pengurusan tertinggi NIST menyatakan pandangannya mengenai garis panduan tradisional, dalam wawancara "menghasilkan kata laluan yang mudah diteka untuk orang jahat sukar ditebak untuk pengguna yang sah."(Https: // spycloud.garis panduan com / new-nist). Ini menunjukkan bahawa seni memilih kata laluan yang paling selamat melibatkan sebilangan faktor manusia dan psikologi. NIST telah membangunkan Kerangka Keselamatan Siber (CSF) untuk mengurus dan mengatasi risiko keselamatan dengan lebih berkesan.

Rangka Kerja Keselamatan Siber NIST

Juga dikenal sebagai "Critical Infrastructure Cybersecurity," kerangka keselamatan siber NIST menyajikan susunan peraturan yang luas yang menentukan bagaimana organisasi dapat menjaga penjenayah siber terkendali. CSF NIST terdiri daripada tiga komponen utama:

• Teras: Memimpin organisasi untuk mengurus dan mengurangkan risiko keselamatan siber mereka.
• Tahap Pelaksanaan: Membantu organisasi dengan memberikan maklumat mengenai perspektif organisasi mengenai pengurusan risiko keselamatan siber.
• Profil: Struktur unik organisasi, keperluan, objektif, dan sumbernya.

Cadangan

Berikut ini adalah cadangan dan cadangan yang diberikan oleh NIST dalam semakan garis panduan kata laluan mereka.

• Panjang Watak: Organisasi boleh memilih kata laluan dengan panjang watak minimum 8, tetapi sangat disarankan oleh NIST untuk menetapkan kata laluan hingga maksimum 64 aksara.
• Mencegah Akses Tidak Sah: Sekiranya orang yang tidak dibenarkan telah mencuba log masuk ke akaun anda, disarankan untuk menyemak semula kata laluan sekiranya terdapat percubaan mencuri kata laluan.
• Bertolak ansur: Apabila organisasi kecil atau pengguna sederhana menemui kata laluan yang dicuri, mereka biasanya menukar kata laluan dan melupakan apa yang berlaku. NIST mencadangkan untuk menyenaraikan semua kata laluan yang dicuri untuk kegunaan sekarang dan akan datang.
• Petunjuk: Abaikan petunjuk dan soalan keselamatan semasa memilih kata laluan.
• Percubaan Pengesahan: NIST sangat mengesyorkan untuk menyekat bilangan percubaan pengesahan sekiranya berlaku kegagalan. Jumlah percubaan adalah terhad, dan mustahil bagi penggodam untuk mencuba pelbagai kombinasi kata laluan untuk log masuk.
• Salin dan tampal: NIST mengesyorkan untuk menggunakan kemudahan tampal di medan kata laluan untuk kemudahan pengurus. Berbeza dengan itu, dalam panduan sebelumnya, kemudahan pasta ini tidak digalakkan. Pengurus kata laluan menggunakan kemudahan tampal ini ketika menggunakan kata laluan induk tunggal untuk memasukkan kata laluan yang tersedia.
• Peraturan Komposisi: Komposisi watak mungkin menimbulkan rasa tidak puas hati pengguna akhir, jadi disarankan untuk melewatkan komposisi ini. NIST menyimpulkan bahawa pengguna biasanya menunjukkan kurangnya minat dalam menetapkan kata laluan dengan komposisi watak, yang akhirnya melemahkan kata laluan mereka. Sebagai contoh, jika pengguna menetapkan kata laluan mereka sebagai 'garis masa', sistem tidak menerimanya dan meminta pengguna untuk menggunakan kombinasi huruf besar dan huruf kecil. Selepas itu, pengguna mesti menukar kata laluan dengan mengikuti peraturan penggabungan yang ditetapkan dalam sistem. Oleh itu, NIST menyarankan untuk menolak syarat komposisi ini, kerana organisasi mungkin menghadapi kesan buruk terhadap keselamatan.
• Penggunaan Watak: Biasanya, kata laluan yang mengandungi spasi ditolak kerana ruang dihitung, dan pengguna melupakan watak spasi, sehingga kata laluan sukar dihafal. NIST mengesyorkan menggunakan kombinasi apa sahaja yang diinginkan pengguna, yang lebih mudah dihafal dan diingat bila diperlukan.
• Perubahan Kata Laluan: Perubahan kata laluan yang kerap sering disarankan dalam protokol keselamatan organisasi atau untuk jenis kata laluan apa pun. Sebilangan besar pengguna memilih kata laluan yang mudah dan mudah diingat untuk diubah dalam masa terdekat untuk mengikuti garis panduan keselamatan organisasi. NIST mengesyorkan agar tidak menukar kata laluan dengan kerap dan memilih kata laluan yang cukup kompleks sehingga dapat dijalankan untuk waktu yang lama untuk memuaskan pengguna dan keperluan keselamatan.

Bagaimana jika Kata Laluan Dikompromikan?

Pekerjaan kegemaran penggodam adalah melanggar halangan keselamatan. Untuk tujuan itu, mereka berusaha untuk mencari kemungkinan inovatif untuk dilalui. Pelanggaran Keselamatan mempunyai kombinasi nama pengguna dan kata laluan yang tidak terkira banyaknya untuk memecahkan sebarang halangan keselamatan. Sebilangan besar organisasi juga mempunyai senarai kata laluan yang dapat diakses oleh penggodam, jadi mereka menyekat pemilihan kata laluan dari kumpulan senarai kata laluan, yang juga dapat diakses oleh penggodam. Mengingat keprihatinan yang sama, jika ada organisasi yang tidak dapat mengakses senarai kata laluan, NIST telah memberikan beberapa panduan yang boleh dikandung oleh senarai kata laluan:

• Senarai kata laluan yang telah dilanggar sebelumnya.
• Kata-kata mudah yang dipilih dari kamus (e.g., 'mengandungi,' diterima, 'dll.)
• Watak kata laluan yang mengandungi pengulangan, siri, atau siri sederhana (e.g. 'cccc, "abcdef,' atau 'a1b2c3').

Mengapa Ikut Garis Panduan NIST?

Garis panduan yang diberikan oleh NIST memperhatikan ancaman keselamatan utama yang berkaitan dengan penggodaman kata laluan untuk pelbagai jenis organisasi. Perkara yang baik adalah, jika mereka melihat pelanggaran halangan keselamatan yang disebabkan oleh penggodam, NIST dapat menyemak semula garis panduan mereka untuk kata laluan, seperti yang mereka lakukan sejak 2017. Sebaliknya, standard keselamatan lain (e.g., HITRUST, HIPAA, PCI) tidak mengemas kini atau menyemak semula garis panduan awal asas yang telah mereka berikan.